tomcat 加固

1、查看GRUB（系统引导管理器）是否设置了密码，为其设置密码

      #vi /etc/grub.conf

      在splashimage=(hd0,0)/grub/splash.xpm.gz后面一行加入：password=ＸＸＸ

      在title Red Hat Enterprise Linux Server (2.6.18-8.el5)后面一行加入：lock

2、检查root的PATH变量中是否包含当前目录“.”如果有，使之不包含。

      #vi /etc/profile   去除“:.”部分。

      防止root执行恶意木马，减少安全隐患。

3、减少系统无用账号，发现非系统内账号，禁用。

      #passwd -l 用户名   ————锁定账号

      #passwd -u 用户名   ————解锁账号

      存在的系统默认账号：lp、sync、shutdown、halt、news、uucp、operator、games、

gopher

4、加固根账户和口令

     4.1  配置策略，锁定多次尝试登录失败的用户：

           Redhat 4.0版本：

              #vi /etc/pam.d/system-auth

              在system-auth文件的auth部分增加如下一行：

              auth required /lib/security/pam_tally.so onerr=fail no_magic_root

              在system-auth文件的account部分增加如下一行：

              account required /lib/security/pam_tally.so deny=3 no_magic_root reset

              尝试密码出现错误3次后，锁定账户。

           Redhat 5.0版本：

                  将配置文件system-auth,修改后内容如下所示：

             #vi /etc/pam.d/system-auth

                auth       required      pam_env.so

                auth       required       pam_unix.so nullok try_first_pass   （将原来的sufficient 改为required)

                #auth      requisite     pam_succeed_if.so uid >= 500 quiet （注释掉此行）

                #auth      required      pam_deny.so （注释掉此行）

                 auth      required      pam_tally2.so deny=5 onerr=fail   （增加的一行）

                        account    required      pam_unix.so

                     account    sufficient    pam_succeed_if.so uid < 500 quiet

                 account    required      pam_permit.so

                 account    required      pam_tally2.so (增加的一行）

       4.2编辑/etc/login.defs  

                       PASS_MAX_DAYS   99999

                       PASS_MIN_DAYS   0

                       PASS_MIN_LEN    5

                       PASS_WARN_AGE   7

               参数值解释： PASS_MAX_DAYS（设置密码过期日期）

                                     PASS_MIN_DAYS(设置密码最少更改日期）

                                     PASS_MIN_LEN(设置密码最小长度）时指密码设置的最小长度，一般

                                     定义为8位以上

                                     PASS_WARN_AGE(设置过期提前警告天数）

           4.3 设置口令的复杂程度

                   #vi /etc/pam.d/system-auth

           5、查看空口令和root权限的账号

                  #awk -F: ‘($2==””)’ /etc/shadow   ————查看空口令

                  #awk -F: ‘($3==0)’ /etc/passwd      ————查看root权限

           6、限制能su到root的用户

                  #vi /etc/pam.d/su

                  添加:auth      required   pam_wheel.so  group=test

                  #usermod -G test scjkdcn    ————将scjkdcn用户加入test组

                  查看组成员

                  #cat /etc/group | grep test

           7、设置系统登录后，连接超时时间为5分钟

                  #vi /etc/profile

                  在最后加入：TMOUT=300

           8、防止误使用ctrl+alt+del重启系统

                  #vi /etc/inittab

                  找到：ca::ctrlaltdel:/sbin/shutdown -t3 -r now，将其注释掉。

           9、禁止root用户通过SSH远程登录

               #vi /etc/ssh/sshd_config

                找到#PermitRootLogin yes，将注释取消，将no改为yes，保存

                重启SSH服务：service sshd restart

                Root用户无法直接登录，需要用普通账户登录后su

           10、apache设置远端客户端超时时间为180s

                   #vi /etc/httpd/conf/httpd.conf

                    Timeout 180   找到Timeout修改时间

     11、阻止ping

在/etc/rc.d/rc.local文件中增加如下一行：

echo 1 ＞/proc/sys/net/ipv4/

icmp_echo_ignore_all

12、防止IP欺骗

编辑host.conf文件并增加如下几行来防止IP欺骗攻击。

order bind，hosts

multi off

nospoof on

 

13、网络安全：开通网络端口
内网WEB应用和数据库之间开通80、8080、1521、22端口，其他全部停用；

外网WEB应用服务器只需开通80、8080端口，其他端口全停用；

 

14、服务器：WEB及数据库服务器上网功能
在防火墙配置中关闭WEB服务器及数据库服务器本机的上网功能；

 

15、安装linux杀毒软件

ClamAV 杀毒

AVG杀毒