实验名称

linux Ubuntu基线检查与安全加固

实验环境

功能 属性
靶机 linux Ubuntu
IP 192.168.0.2

实验目的

本实验主要学习linux Ubuntu 取消所有服务器的root远程ssh登录,限制su - root的用户权限,同时ssh登录端口调整,外网ssh登录全部调整;调整密码过期时间和复杂度;日志管理;登录认证记录等,以及增加了自动化加固脚本,省时省力,提高工作效率。

实验工具

linux Ubuntu

设计者 : 匿名 难度 : 初级

实验内容

先连接实验的靶机,点击桌面“搜索Everything”-》输入putty-》选择putty.exe-》输入 192.168.0.2-》Open

login as :root 输入完稍等片刻,等待输入密码

password:123456

步骤一:删除系统不需要的默认账号

查看系统中所有用户:

grep bash /etc/passwd

userdel <用户名>

groupdel <用户名>

passwd –l <用户名>

如果下面这些系统默认帐号不需要的话,建议删除。 lp, sync news, uucp, games, bin、man 修改一些系统帐号的shell变量,例如uucp,ftp和news等,还有一些仅仅需要FTP功能的帐号,一定不要给他们设置/bin/bash或者/bin/sh等Shell变量。可以在/etc/passwd中将它们的shell变量设为/bin/false或者/dev/null等,也可以使用usermod -s /dev/null

步骤二:限制超级管理员远程登录

参考配置操作

SSH: vim /etc/ssh/sshd_config

把 PermitRootLogin yes 改为 PermitRootLogin no

重启sshd服务 service sshd restart

步骤三:修改ssh端口

vim /etc/ssh/sshd_config

修改 Port 22

修改成其他端口,迷惑非法试探者

service sshd restart

步骤四:缺省密码生存周期限制

vim /etc/login.defs

修改或添加如下配置

参考配置操作

PASS_MAX_DAYS 90

PASS_MIN_DAYS 0

步骤五:设置关键目录的权限

参考配置操作

通过chmod命令对目录的权限进行实际设置。

补充操作说明

etc/passwd 必须所有用户都可读,root用户可写 –rw-r—r— /etc/shadow 只有root可读 –r--------

/etc/group 必须所有用户都可读,root用户可写 –rw-r—r— 使用如下命令设置:

chmod 644 /etc/passwd

chmod 600 /etc/shadow

chmod 644 /etc/group

如果是有写权vi限,就需移去组及其它用户对/etc的写权限(特殊情况除外)

执行命令#chmod -R go-w /etc

步骤六:修改umask值

参考配置操作

使用命令“umask”查看默认的umask值是否为027

本实验的是022

设置默认权限:

vim ~/.bashrc 文件中执行 umask 命令,这样用户登录后 umask 的值自动就变成了设置的值。把下面的命令添加到 ~/.bashrc 文件的最后一行:

保存后重新登录一次,然后查看 umask 的值:

步骤七:设置目录权限

参考配置操作

查看重要文件和目录权限:ls –l

更改权限:

对于重要目录,建议执行如下类似操作:

chmod -R 750 /etc/init.d/*

这样只有root可以读、写和执行这个目录下的脚本。

步骤八:设置关键文件的属性

lsattr /etc/shadow

lsattr /etc/passwd

lsattr /etc/group

参考配置操作

chattr +i /etc/shadow

chattr +i /etc/passwd

chattr +i /etc/group

建议管理员对关键文件进行特殊设置(不可更改或只能追加等)。

步骤九:使用PAM禁止任何人su为root

参考配置操作 编辑su文件(vim /etc/pam.d/su),在开头添加下面两行: auth sufficient /lib/security/pam_rootok.so auth required /lib/security/pam_wheel.so group=wheel 这表明只有wheel组的成员可以使用su命令成为root用户。

步骤十:安全加固自动化脚本

操作目的:

自动加固系统

操作步骤:

打开cd / 进入根目录->cd进去jiaoben(文件夹)->输入“./ubuntu.sh”