Chinaunix首页 | 论坛 | 博客
  • 博客访问: 413376
  • 博文数量: 89
  • 博客积分: 1386
  • 博客等级: 中尉
  • 技术积分: 827
  • 用 户 组: 普通用户
  • 注册时间: 2011-06-20 10:32
个人简介

12年 linux 系统运维工程师,网络架构设计、优化,故障处理。

文章分类

全部博文(89)

文章存档

2019年(1)

2015年(2)

2014年(11)

2013年(14)

2012年(2)

2011年(59)

分类: LINUX

2011-06-20 11:01:03

Linux 系统安全策略 

(版本:V2.0) 

一、 帐户密码策略 

a) 密码长度需要 8 位以上(强制) 

b) 密码应同时使用英文,数字和符号(强制) 

c) 密码应 3 个月修改一次(强制) 

d) 之前 3 个已使用的密码不能再使用 

e) 若用户连续输错密码 3 次应暂时停用账号 30 分钟 (强制) 

f) 允许用户更改密码 

g) 密码过期前 7 天提醒更改 

实现方法(注意红色更改部分):

1)、修改/etc/login.defs文件内容对应变量值如下:

PASS_MAX_DAYS   90

PASS_MIN_DAYS   0

PASS_MIN_LEN    8

PASS_WARN_AGE   7

2)、修改/etc/pam.d/system-auth文件内容如下:

#%PAM-1.0

# This file is auto-generated.

# User changes will be destroyed the next time authconfig is run.

auth        required      pam_env.so

auth        required      pam_tally.so onerr=fail deny=3 unlock_time=1800

auth        sufficient    pam_unix.so nullok try_first_pass

auth        requisite     pam_succeed_if.so uid >= 500 quiet

auth        required      pam_deny.so

account     required      pam_unix.so

account     sufficient    pam_succeed_if.so uid < 500 quiet

account     required      pam_permit.so

account     required      pam_tally.so

password    requisite     pam_cracklib.so retry=3 minlen=8 lcredit=-1 ucredit=-1 dcredit=-1 ocredit=-1 difok=3

password    sufficient    pam_unix.so md5 shadow nullok try_first_pass use_authtok remember=3

password    required      pam_deny.so

session     optional      pam_keyinit.so revoke

session     required      pam_limits.so

session     [success=1 default=ignore] pam_succeed_if.so service in crond quiet use_uid

session     required      pam_unix.so

二、SSH 端口由 22 更改为 2222

 方法:将/etc/ssh/sshd_config文件Port前注释去掉,将原来22更改为2222。             

三、 防火墙安全策略 

所有 Linux 服务器使用同一 iptables 脚本,默认只开启 ssh 端口 2222。 

四、审计策略 

Linux 系统默认的审计策略。 

五、内核参数调整 

##网络优化 

#优化系统套接字缓冲区 

net.core.rmem_max=16777216 

net.core.wmem_max=16777216 

#优化 TCP 接收/发送缓冲区 

net.ipv4.tcp_rmem=4096 87380 16777216 

net.ipv4.tcp_wmem=4096 65536 16777216 

#优化网络设备接收队列 

net.core.netdev_max_backlog=3000 

##优化 TCP 协议栈 

#打开 TCP SYN cookie 选项,有助于保护服务器免受SyncFlood 攻击 。 

net.ipv4.tcp_syncookies=1 

#打开 TIME-WAIT 套接字重用功能,对于存在大量连接的Web服务器非常有效。 

net.ipv4.tcp_tw_recycle=1 

net.ipv4.tcp_tw_reuse=1 

#减少处于 FIN-WAIT-2 连接状态的时间,使系统可以处理更多的连接。 

net.ipv4.tcp_fin_timeout=30 

#减少 TCP KeepAlive 连接侦测的时间, 

net.ipv4.tcp_keepalive_time=1800 

#增加 TCP SYN 队列长度,使系统可以处理更多的并发连接。 

net.ipv4.tcp_max_syn_backlog=8192 

# Turn off tcp_window_scaling 

net.ipv4.tcp_window_scaling = 0 

# Turn off the tcp_sack 

net.ipv4.tcp_sack = 0 

#Turn off tcp_timestamps 

net.ipv4.tcp_timestamps = 0 

net.ipv4.ip_local_port_range = 1024 65000 

阅读(878) | 评论(0) | 转发(0) |
0

上一篇:linux 文件挂载

下一篇:ubuntu lamp 安装配置

给主人留下些什么吧!~~