12年 linux 系统运维工程师,网络架构设计、优化,故障处理。
分类: LINUX
2011-06-20 11:01:03
Linux 系统安全策略
(版本:V2.0)
一、 帐户密码策略
a) 密码长度需要 8 位以上(强制)
b) 密码应同时使用英文,数字和符号(强制)
c) 密码应 3 个月修改一次(强制)
d) 之前 3 个已使用的密码不能再使用
e) 若用户连续输错密码 3 次应暂时停用账号 30 分钟 (强制)
f) 允许用户更改密码
g) 密码过期前 7 天提醒更改
实现方法(注意红色更改部分):
1)、修改/etc/login.defs文件内容对应变量值如下:
PASS_MAX_DAYS 90
PASS_MIN_DAYS 0
PASS_MIN_LEN 8
PASS_WARN_AGE 7
2)、修改/etc/pam.d/system-auth文件内容如下:
#%PAM-1.0
# This file is auto-generated.
# User changes will be destroyed the next time authconfig is run.
auth required pam_env.so
auth required pam_tally.so onerr=fail deny=3 unlock_time=1800
auth sufficient pam_unix.so nullok try_first_pass
auth requisite pam_succeed_if.so uid >= 500 quiet
auth required pam_deny.so
account required pam_unix.so
account sufficient pam_succeed_if.so uid < 500 quiet
account required pam_permit.so
account required pam_tally.so
password requisite pam_cracklib.so retry=3 minlen=8 lcredit=-1 ucredit=-1 dcredit=-1 ocredit=-1 difok=3
password sufficient pam_unix.so md5 shadow nullok try_first_pass use_authtok remember=3
password required pam_deny.so
session optional pam_keyinit.so revoke
session required pam_limits.so
session [success=1 default=ignore] pam_succeed_if.so service in crond quiet use_uid
session required pam_unix.so
二、SSH 端口由 22 更改为 2222
方法:将/etc/ssh/sshd_config文件Port前注释去掉,将原来22更改为2222。
三、 防火墙安全策略
所有 Linux 服务器使用同一 iptables 脚本,默认只开启 ssh 端口 2222。
四、审计策略
Linux 系统默认的审计策略。
五、内核参数调整
##网络优化
#优化系统套接字缓冲区
net.core.rmem_max=16777216
net.core.wmem_max=16777216
#优化 TCP 接收/发送缓冲区
net.ipv4.tcp_rmem=4096 87380 16777216
net.ipv4.tcp_wmem=4096 65536 16777216
#优化网络设备接收队列
net.core.netdev_max_backlog=3000
##优化 TCP 协议栈
#打开 TCP SYN cookie 选项,有助于保护服务器免受SyncFlood 攻击 。
net.ipv4.tcp_syncookies=1
#打开 TIME-WAIT 套接字重用功能,对于存在大量连接的Web服务器非常有效。
net.ipv4.tcp_tw_recycle=1
net.ipv4.tcp_tw_reuse=1
#减少处于 FIN-WAIT-2 连接状态的时间,使系统可以处理更多的连接。
net.ipv4.tcp_fin_timeout=30
#减少 TCP KeepAlive 连接侦测的时间,
net.ipv4.tcp_keepalive_time=1800
#增加 TCP SYN 队列长度,使系统可以处理更多的并发连接。
net.ipv4.tcp_max_syn_backlog=8192
# Turn off tcp_window_scaling
net.ipv4.tcp_window_scaling = 0
# Turn off the tcp_sack
net.ipv4.tcp_sack = 0
#Turn off tcp_timestamps
net.ipv4.tcp_timestamps = 0
net.ipv4.ip_local_port_range = 1024 65000