linux系统web应用安全加固方法

Linux系统因为其出色的性能和稳固性、开放源代码的灵活性和可扩展性,以及较低廉的成本,而受到计算机工业界的广泛关注和应用。其系统的安全性就必需要增强。

一. 账户安全

1.1 锁定系统中多余的自建帐号

检查方法:

执行命令

#cat /etc/passwd

#cat /etc/shadow

查看账户、口令文件,与系统管理员确认不必要的账号。对于少量保留的系统伪帐户如:bin, sys,adm,uucp,lp, nuucp,hpdb, www, daemon等可根据需要锁定登陆。

备份方法:

#cp -p /etc/passwd /etc/passwd_bak

#cp -p /etc/shadow /etc/shadow_bak

加固方法:

使用命令passwd -l 锁定不必要的账号。

使用命令passwd -u 解锁需要恢复的账号。

风险:

需要与管理员确认此项操作不会影响到业务系统的登录

1.2设置系统口令策略

检查方法:

使用命令

#cat /etc/login.defs|grep PASS查看密码策略设置

备份方法:

cp -p /etc/login.defs /etc/login.defs_bak

加固方法:

#vi /etc/login.defs修改配置文件

PASS_MAX_DAYS 90 #新建客户的密码最长使用天数

PASS_MIN_DAYS 0 #新建客户的密码最短使用天数

PASS_WARN_AGE 7 #新建客户的密码到期提前提示天数

PASS_MIN_LEN 9 #最小密码长度9

风险:无可见风险

1.3禁用root之外的超级客户

检查方法:

#cat /etc/passwd 查看口令文件,口令文件格式如下:

login_name:password:user_ID:group_ID:comment:home_dir:command

login_name:客户名

password:加密后的客户密码

user_ID:客户ID,(1 ~ 6000) 若客户ID=0,则该客户拥有超级客户的权限。查看此处能否有多个ID=0。

group_ID:客户组ID

comment:客户全名或者其它注释信息

home_dir:客户根目录

command:客户登录后的执行命令

linux系统web应用安全加固方法

linux系统web应用安全加固方法