Linux系统加固：基础安全配置与用户管理

"这是一份关于Linux系统加固的手册，主要涉及基础安全配置，适用于多种Linux版本。手册内容包括修改密码策略、检查和设置正确的UMASK值、锁定不必要的系统用户和组以及防止SYN Flood攻击等措施，旨在增强系统的安全性。" Linux加固是确保系统安全的重要步骤，以下是对这些关键点的详细解释： 1. **修改密码策略**： - `PASS_MAX_DAYS`：设置密码最大有效期，例如90天，确保用户定期更换密码，增加系统安全性。 - `PASS_MIN_DAYS`：定义两次修改密码之间所需的最小间隔，例如0天，允许立即更改密码。 - `PASS_MIN_LEN`：设定密码最小长度，例如8个字符，以增加破解难度。 - `PASS_WARN_AGE`：在密码即将过期前多少天提醒用户，例如7天，提前通知用户更新密码。 2. **查看和设置UMASK值**： - UMASK是默认文件创建权限掩码，022表示新创建的文件默认为rw-r--r--（644），目录为rwxr-xr-x（755）。检查`umask 022`是否正确设置，确保新创建的文件和目录具有合适的默认权限。 3. **锁定不必要的系统用户和组**： - 锁定用户可以防止未授权访问，通过`usermod -L`命令实现。手册中列举了一些常见的系统用户，如admp、lp等，建议将其锁定。 - 检查`/etc/shadow`文件中的“！”符号，它表示用户已被锁定。 - 同样，可以注释掉`/etc/group`中无关的组，减少潜在的安全风险。 4. **禁止root用户远程登录**： - SSH服务的配置文件`/etc/ssh/sshd_config`中，将`PermitRootLogin`设置为`no`，这样可以防止root用户通过SSH远程登录，降低被恶意攻击的风险。记得重启SSH服务以应用更改。 5. **预防SYN Flood攻击**： - SYN Flood是一种DDoS攻击，通过大量未完成的TCP连接请求耗尽服务器资源。通过调整`/etc/sysctl.conf`文件中的参数，例如启用`net.ipv4.tcp_syncookies`，可以防御此类攻击。此外，还可以调整`net.ipv4.tcp_max_syn_backlog`来限制等待确认的SYN连接数量。 以上操作都是基本的Linux安全强化步骤，但请注意，根据实际环境和需求，可能还需要实施其他安全策略，如安装防火墙、更新系统补丁、监控系统日志等。对于大型或敏感的系统，应遵循更全面的安全规范和最佳实践。