服务器加固

一、信息安全防护的目标
保密性，Confidentiality
完整性，Integrity
可用性，Usability
可控制性，Controlability
不可否认性，Non-repudiation
二、安全防护环节
物理安全：各种设备/主机、机房环境
系统安全：主机或设备的操作系统
应用安全：各种网络服务、应用程序
网络安全：对网络访问的控制、防火墙规则
数据安全：信息的备份与恢复、加密解密
管理安全：各种保障性的规范、流程、方法

三、LINUX系统加固
1、阻止普通用户关机

[root@svr1 ~]# cd /etc/security/console.apps/#进入该目录[root@svr1 console.apps]# mkdir -m 700 locked#创建并更改locked权限[root@svr1 console.apps]# mv poweroff locked/#将poweroff命令置入locked中

查看能登陆的用户:

grep -v 'nologin$' /etc/passwd#查看能登陆的用户

2、设置bob用户密码各个时间：

密码上次改变时间：最近一次更改密码时间
密码最长时间：密码在最长时间后失效
密码最短时间：密码在最短时间内不能修改
密码警告时间：密码在最长时间前一段时间，这段时间系统会提醒修改密码
密码不活跃时间：最长时间后的一段时间，无法使用并提醒修改密码
不活跃时间之后密码锁定，求助管理员

[root@localhost ~]# chage -l bob #查看密码信息[root@localhost ~]# man 5 passwd#查看passwd文件帮助信息[root@localhost ~]# chage -m 1 -M 90 -W 5 -I 3 -E 2014-03-15 bob

3、设置alice下一次登陆必须改密码:

[root@localhost ~]# chage -d 0 alice

4、帐号锁定操作。每步到底做了什么？
[root@localhost ~]# passwd -l alice#锁定，密码前加！！
[root@localhost ~]# passwd -S alice#查看状态
[root@localhost ~]# passwd -u alice#解锁
[root@localhost ~]# usermod -L alice#锁定，密码前加！
[root@localhost ~]# usermod -U alice#解锁

5、配置文件/etc/login.defs，该文件有新建用户的所有默认配置项。
对新建的用户有效，修改默认新建用户的密码配置，主要控制属性：

PASS_MAX_DAYS 90 #最长使用90天PASS_MIN_DAYSPASS_WARN_AGE

6、设置最大历史命令条目数:

#vi ~/.bash_history#历史命令存储位置，尽量不要使用包含明文密码命令# vim /etc/profile #修改HISTSIZE数字

ntsysv命令管理服务开机启动
–level 123456#备注级别，默认当前级别
7、SUID？？、
SGID目录下的文件，都与本目录的属组相同
Sticky bit置1时，目录下的文件只能由创建者删除
（1）分别以root和bob用户执行 ls /root有什么结果；改变ls的权限 chmod 4755 /bin/ls，再用bob执行ls /root有什么结果？为什么
（2）执行chmod 755 /usr/bin/passwd后，bob修改自己的密码，还能修改么？为什么
（3）执行chmod 4755 /bin/touch后，bob创建一个文件，查看文件的属主是谁，为什么会有这样的结果？

8、/etc/fstab中的defaults是挂载选项，它包含哪些选项。如果把一个目录挂载为只读文件系统？

9、文件加锁、解锁
把/etc/hosts变成绝对只读文件-i
把/etc/hosts变成只能追加内容的文件-a

chattr   +/-   i/alsattr  /etc/hosts

10、允许启用哪些tty终端
配置文件 /etc/sysconfig/init
ACTIVE_CONSOLES=/dev/tty[1-6]
立即禁止普通用户登录
/etc/nologin
只允许root从指定的几个终端登录
配置文件 /etc/securetty

11、防止系统版本信息泄漏
/etc/issue
/etc/issue.net

Telnet
一、服务器端：
1、安装软件

yum install -y telnet-server

2、启动服务

chkconfig telnet on ; service xinetd restart

3、创建普通用户

useradd bob

二、客户端
1、安装软件

yum install -y telnet

2、连接测试（不能使用root）

telnet x.x.x.x

12、禁止Ctrl+Alt+Del重启

[root@svr1 ~]# vim /etc/init/control-alt-delete.conf # start on control-alt-deleteexec /sbin/shutdown -r now .. ..

13、grub加密码
[root@svr1 ~]# grub-md5-crypt#MD5密码生成
[root@svr1 ~]# vim /boot/grub/grub.conf
default=0#安装多个系统，默认安装第一个
timeout=3
password –md5 1tt3gH1$8nZtL70J/Gv/dAaUm/1
title Red Hat Enterprise Linux (2.6.32-358.el6.x86_64)#系统1
root (hd0,0)
kernel /vmlinuz-2.6.32-358.el6.x86_64 .. ..
initrd /initramfs-2.6.32-358.el6.x86_64.img
title Windows 7#系统2
rootnoverify (hd0,2)
makeactive
chainloader +1

14、sudo
管理员需要让tom和Alice管理用户的创建、删除、修改、设置密码操作。但是又不能把root密码告诉他们。

# visudo#打开一个文件User_Alias USERADMINS = tom, aliceCmnd_Alias USEROP = /usr/sbin/useradd, /usr/sbin/userdel, /usr/sbin/usermod, /usr/bin/passwdUSERADMINS      ALL=(ALL)       USEROP用户               机器=身份         命令bob                %group              # su  -  tom# sudo useradd zhangsan

15、初始化操作系统

# touch  /.unconfigured# reboot

16、挂载U盘，汉字字符乱码解决：

man mount#查看帮助mount -o iochartset=utf8 /dev/sdb4 /mnt/upan#指定字符集挂载

17、ftp显示乱码：
配置samba，启动samba，使用共享
安装convmv-rpm软件包（6.6之后的版本包含）

convmv -f utf8 -t GB2312 -r 文件目录 --notest#将utf8转换为GB2312 ，递归转换，不测试直接转换

18、parted命令支持2T以上的硬盘分区
19、su 用户 创建非登录shell
su -用户 创建登录shell，读取用户目录下的配置配置
su - bob -c ‘touch /tmp/123’#指定以bob身份执行命令
su - bob -s /bin/bash#指定用户使用的shell