一种Linux操作系统的安全加固策略优化方法技术方案

一种Linux操作系统的安全加固策略优化方法，步骤如下:1)检查是否设置口令更改最小间隔天数；2)检查账户认证失败次数限制；3)检查是否使用PAM认证模块禁止wheel组之外的用户su为root；4)检查系统是否禁用Ctrl+Alt+Delete组合键；5)检查历史命令设置；6)检查系统openssh安全配置；7)检查用户目录缺省访问权限设置；8)检查日志文件权限设置；9)检查是否禁止root用户远程登录；10)检查是否设置命令行界面超时退出；11)检查是否设置口令生存周期；12)检查密码重复使用次数限制；13)检查是否设置SSH登录前警告Banner；14)检查设备密码复杂度策略；将以上步骤构成构成linux6.0的操作系统软件的一个优先运行的子代码，在操作系统启动时运行。系统启动时运行。

【技术实现步骤摘要】
一种Linux操作系统的安全加固策略优化方法


[0001]本专利技术涉及Linux操作系统安全领域，具体地说是一种基于Linux操作系统的安全加固策略优化方法，提升系统加固工作效率及加强Linux操作系统的安全性。

技术介绍

[0002]网络安全是一个非常重要的课题，而服务器是网络安全中最关键的环节。Linux操作系统是一个比较常用且安全的服务器操作系统，作为一种开放源代码操作系统，一旦Linux操作系统中发现有安全漏洞，互联网上来自世界各地的志愿者会踊跃修补它。然而，相对于这些系统本身的安全漏洞，更多的安全问题是由不当的配置造成的，可以通过适当的配置来防止。服务器上运行的服务越多，不当的配置出现的机会也就越多，出现安全问题的可能性就越大。
[0003]绝大多数服务器都选用Linux作为服务器的操作系统，是因为Linux操作系统相对来说比较安全，但安装完系统后若不对系统进行安全加固的话，系统某些薄弱的地方可能会被黑客利用，会造成服务器容易被攻击。
[0004]目前一般系统加固需手动检测系统相关配置文件并手动修改，这就造成一个系统加固的效率问题，当一个服务器规模较大的系统，在进行安全加固的过程中，传统的加固方法会耗时费力。现有技术中，对Linux操作系统的安全加固都是通过系统管理员手工修改相关配置文件，不仅效率较低，而且容易出现漏洞，容易有部分配置文件未及时修改或者修改不正确，本身也会造成服务器的故障和安全隐患。
[0005]CN2018104104949提出了一种Linux服务器自动化安全加固方法，包括以下步骤：Linux系统运行系统加固管理脚本，以当前时间备份原配置文件；读取原配置文件设定值，选取对应功能的配置脚本；导入配置脚本设定值参数，替换原配置文件设定值，生成新的配置文件；将新的配置文件分类写入日志文件中，完成服务器自动化安全加固。提供了一种Linux服务器自动化安全加固方法，Linux服务器采用bash脚本控制，将linux6.0的操作系统软件分为多个独立可部署可扩展的脚本控制代码段，突破人工操作过程中出现瓶颈，避免了修改工作量暴增时，管理人员操作不及时给系统带来的风险。
[0006]但导入配置脚本设定值参数过程比较繁杂，系统的工作量大。
[0007]CN2014106867284公开了一种Linux系统安全加固方法及系统，该方法包括自动检测系统中的薄弱环节，并通过检查账号安全；停止承载业务无关服务；控制数据访问；控制网络访问；限定信任主机；鉴别用户；配置审计策略进行审计一系列自动操作，完成对Linux系统安全加固自动进行的工作。把需手动执行的所有过程变为自动化执行，节省了时间，实现快速为Linux系统安全加固的方法，提高效率，增强系统安全性。

技术实现思路

[0008]本专利技术的提出的技术任务是，提供一种针对Linux操作系统进行安全加固防护策略优化，增强Linux操作系统安全防护和加固效率，用以解决现有技术中系统管理员手动修
改Linux操作系统自带配置文件带来的效率低下、安全系数低的问题。资源占用少和Linux系统工作快捷的方法。
[0009]本专利技术的技术方案是，一种Linux操作系统的安全加固策略优化方法，包括如下步骤:
[0010]1)检查是否设置口令更改最小间隔天数；检查：/etc/login.defs文件中口令更改最小间隔天数；加固方法：将/etc/login.defs文件中的口令更改最小间隔天数设置为10天；
[0011]2)检查账户认证失败次数限制；检查方法，检查/etc/pam.d/system
‑
auth文件中是否配置了账户认证失败的次数和锁定时间。
[0012]加固方法：在/etc/pam.d/system
‑
auth文件中，将账户认证失败策略定义成失败5次后锁定180秒。
[0013]3)检查是否使用PAM认证模块禁止wheel组之外的用户su为root；检查方法，检查/etc/pam.d/su文件中，是否使用PAM认证模块禁止wheel组之外的用户su为root；
[0014]加固方法，在/etc/pam.d/su文件中，对PAM认证模块进行配置，禁止wheel组之外的用户su为root。
[0015]4)检查系统是否禁用Ctrl+Alt+Delete组合键；
[0016]检查方法，检查/usr/lib/systemd/system/ctrl
‑
alt
‑
del.target文件中，是否禁用Ctrl+Alt+Delete组合键；加固方法，在/usr/lib/systemd/system/ctrl
‑
alt
‑
del.target文件中，配置禁用Ctrl+Alt+Delete组合键；
[0017]5)检查历史命令设置；
[0018]检查方法，检查/etc/profile文件中，历史命令中保存命令的记录总数和命令输出的记录数；
[0019]加固方法，在/etc/profile文件中，配置历史命令的保存命令的记录总数和命令输出的记录为5
[0020]6)检查系统openssh安全配置；
[0021]检查方法，检查etc/ssh/sshd_config文件中，是否禁止了不安全的登录配置；
[0022]#加固方法，在检查etc/ssh/sshd_config文件中，禁止不安全的登录配置；
[0023]7)检查用户目录缺省访问权限设置；
[0024]检查方法，检查/etc/profile文件中用户目录缺省访问权限的umask值是否为027；
[0025]加固方法，将/etc/profile文件中用户目录缺省访问权限的umask值设置为027；
[0026]8)检查日志文件权限设置；
[0027]检查方法，检查/var/log/messages、/var/log/dmesg、/var/log/maillog、/var/log/secure、/var/log/wtmp、/var/log/cron等文件的权限设置是否符合安全认证；
[0028]加固方法，修改/var/log/messages、/var/log/dmesg、/var/log/maillog、/var/log/secure、/var/log/wtmp、/var/log/cron等文件的权限，使其符合安全认证；
[0029]9)检查是否禁止root用户远程登录；
[0030]检查方法，检查/etc/ssh/sshd文件中，是否禁止root用户远程登录
[0031]加固方法，配置/etc/ssh/sshd文件，禁止root用户远程登录
[0032]10)检查是否设置命令行界面超时退出；
[0033]检查方法，检查/etc/profile文件中，是否设置命令行界面超时退出
[0034]加固方法，将/etc本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种Linux操作系统的安全加固策略优化方法，其特征是，包括如下步骤:1)检查是否设置口令更改最小间隔天数；2)检查账户认证失败次数限制；3)检查是否使用PAM认证模块禁止wheel组之外的用户su为root；4)检查系统是否禁用Ctrl+Alt+Delete组合键；5)检查历史命令设置；6)检查系统openssh安全配置；7)检查用户目录缺省访问权限设置；8)检查日志文件权限设置；9)检查是否禁止root用户远程登录；10)检查是否设置命令行界面超时退出；11)检查是否设置口令生存周期；12)检查密码重复使用次数限制；13)检查是否设置SSH登录前警告Banner；14)检查设备密码复杂度策略；将以上步骤构成一个独立可部署可扩展的脚本控制代码段固化，构成linux6.0的操作系统软件的一个优先()运行的子代码，并在操作系统启动时运行。2.根据权利要求1所述的Linux操作系统的安全加固策略优化方法，其特征是，步骤1)
‑
14)中的检查与加固方法是：1)检查：/etc/login.defs文件中口令更改最小间隔天数；加固方法：将/etc/login.defs文件中的口令更改最小间隔天数设置为10天；2)检查方法，检查/etc/pam.d/system
‑
auth文件中是否配置了账户认证失败的次数和锁定时间。加固方法：在/etc/pam.d/system
‑
auth文件中，将账户认证失败策略定义成失败5次后锁定180秒。3)检查方法，检查/etc/pam.d/su文件中，是否使用PAM认证模块禁止wheel组之外的用户su为root；加固方法，在/etc/pam.d/su文件中，对PAM认证模块进行配置，禁止wheel组之外的用户su为root。4)检查方法，检查/usr/lib/systemd/system/ctrl
‑
alt
‑
del.target文件中，是否禁用Ctrl+Alt+Delete组合键；加固方法，在/usr/lib/systemd/system/ctrl
‑
...

【专利技术属性】
技术研发人员：芮礼等，罗义斌，司震，杨冰，孙力斌，
申请(专利权)人：南京联创信息科技有限公司，
类型：发明
国别省市：