Linux系统安全加固规范

"通用Linux系统安全加固V1.0.pdf" 是一份针对Linux主机操作系统的安全加固操作规范，旨在提高系统的安全性，防止未经授权的访问和攻击。这份文档详细列出了多个方面的安全配置要求，包括帐户安全、访问认证、文件系统、网络服务、IP协议、日志管理和更多其他的安全措施。 1. **帐户安全配置要求**： - 创建`/etc/shadow`影子口令文件，将明文口令存储改为加密，增加安全性。 - 分配用户至多账户组，根据职责权限进行管理，降低风险。 - 删除或锁定不再使用的账户，减少攻击面。 - 清理无用用户组，避免遗留的安全隐患。 - 检查并确保不存在空密码账户，防止被轻易破解。 - 设置复杂度要求的口令策略，增强密码强度。 - 设定口令生存周期，强制用户定期更换密码。 - 限制密码历史，防止密码重复使用，增加密码猜测难度。 - 禁止root用户通过远程登录，保护系统核心权限不被滥用。 - 检查`passwd`、`group`文件权限，确保它们的安全性。 - 删除用户目录下的潜在风险文件，如`.netrc`、`.rhosts`、`.shosts`，防止未授权访问。 2. **访问、认证安全配置要求**： - 替换telnet为ssh，提供更安全的远程登录方式。 - 限制FTP系统账户登录，避免明文传输密码。 - 控制inetd服务访问，只允许特定IP或主机名连接。 - 禁止非root账户使用`at`和`cron`，防止滥用计划任务。 - 设置账户连续认证失败次数限制，超过次数自动锁定账号。 3. **文件系统安全配置要求**： - 为重要目录和文件设置合适的权限，防止非法修改。 - 检查无所有者的文件和目录，确保文件所有权的正确性。 4. **网络服务安全配置要求**： - 关闭NIS/NIS+守护进程，减少潜在的攻击目标。 - 禁用打印服务守护进程，防止通过打印服务入侵。 - 停止SENDMAIL守护进程，避免成为邮件病毒传播途径。 - 关闭不必要的标准启动服务，降低被利用的风险。 - 管理inetd服务，仅开启必要的网络服务。 5. **IP协议安全配置要求**： - 关闭IP转发，防止系统被用作中间人攻击的跳板。 - 禁止转发源路由包，防止路由欺骗。 - 增大最大半连接数，缓解SYN洪水攻击。 - 关闭ICMP重定向，避免路由被篡改。 - 禁止回应echo广播，降低被扫描的几率。 - 关闭对地址掩码和时间戳广播的响应，防止网络探测。 6. **日志安全配置要求**： - 非日志服务器不接收syslog，避免日志信息被篡改。 - 启用inetd的日志记录，便于追踪异常行为。 - 配置SYSLOG，确保日志信息的完整性和准确性。 - 记录FTP会话和命令，便于审计和问题排查。 - 设置远程日志服务器，集中管理日志，增强数据安全性。 - 检查系统日志文件权限，确保日志信息不被非法修改。 7. **其他安全配置要求**： - 可能包含其他未在摘要中列出的具体安全措施和建议，如防火墙配置、软件更新策略等。 这份文档提供了全面的Linux系统安全加固指南，适合系统管理员和安全专家参考，以提升Linux系统的整体安全性。