一、账户安全
1.1锁定系统中多余的自建账户
检查方法:
美国总统之行政命令
#cat /etc/passwd
#猫/etc/影子
检查帐户和密码文件,并与系统管理员确认不必要的帐户。对于一些保留的系统伪账号如bin、sys、adm、uucp、lp、nuucp、hpdb、www、daemon等。可以根据需要登录。
备份方法:
# CP-p/etc/passwd/etc/passwd _ bak
# CP-p/etc/shadow/etc/shadow _ bak
加固方法:
使用passwd -l用户名锁定不必要的帐户。
使用passwd -u用户名解锁要恢复的帐户。
1.2设置系统密码策略
检查方法:
使用命令
#cat /etc/login.defs|grep PASS查看密码策略设置
备份方法:
CP-p/etc/log in . defs/etc/log in . defs _ bak
加固方法:
#vi /etc/login.defs修改配置文件
PASS_MAX_DAYS 90 #新创建用户密码的最大天数
PASS_MIN_DAYS 0 #使用新用户密码的最小天数
PASS_WARN_AGE 7 #提前提醒新创建用户密码到期的天数。
PASS_MIN_LEN 9 #最小密码长度9
1.3禁用超级用户而非超级用户。
检查方法:
#cat /etc/passwd查看密码文件。密码文件格式如下:
登录名:密码:用户标识:组标识:注释:主页目录:命令
登录名:用户名
密码:加密的用户密码。
User_ID:用户ID,(1 ~ 6000)如果用户ID=0,则该用户拥有超级用户权限。看看这里是否有多个ID=0。
Group_ID:用户组ID
评论:用户的全名或其他评论信息。
Home_dir:用户根目录
命令:用户登录后执行的命令。
备份方法:
# CP-p/etc/passwd/etc/passwd _ bak
加固方法:
使用passwd -l用户名锁定不必要的超级帐户。
使用passwd -u用户名解锁需要恢复的超级帐户。
风险:你需要和管理员确认这个超级用户的用途。
1.4限制苏灿作为根用户的用户。
检查方法:
#cat /etc/pam.d/su查看是否有类似auth required/lib/security/PAM _ wheel . so的配置条目。
备份方式:#cp -p /etc/pam.d /etc/pam.d_bak
加固方法:
#vi /etc/pam.d/su
在标题处添加:
需要授权/lib/security/PAM _ wheel . so group=wheel
这样,只有轮组的用户苏灿才能root。
#usermod -G10测试将测试用户添加到车轮组。
当系统认证出现问题时,首先要检查/var/log/messages或者/var/log/secure中的输出信息,根据这些信息判断用户账号的有效性。
做爱。如果因为PAM认证失败导致root无法登录,只能使用单用户或者救援模式进行调试。
1.5检查影子空心密码账户
检查方法:
# awk-F:“(==' '){ print }”/etc/shadow
备份方式:cp -p /etc/shadow /etc/shadow_bak
加固方法:锁定空密码账号,或者要求追加密码。
第二,最小化服务
2.1停止或停用与承载业务无关的服务。
检查方法:
# whor或runlevel查看当前的初始化级别
# chkconfig-list查看所有服务的状态
备份方法:记录要关闭的服务的名称。
加固方法:
# chkconfig-level service name on | off | reset设置服务在初始化级别启动时是否启动。
三。数据访问控制
3.1设置合理的初始文件权限。
检查方法:
#cat /etc/profile查看umask的值
备份方法:
# CP-p/etc/profile/etc/profile _ bak
加固方法:
#vi /etc/profile
umask=027
风险:新创建文件的默认权限将被修改。如果服务器是WEB应用程序,将仔细修改此项。
四。网络访问控制
4.1使用SSH进行管理
检查方法:
# PSAEF | grepshd检查此服务是否可用。
备份方法:
加固方法:
使用命令启动ssh服务。
#服务sshd启动
风险:改变管理员的使用习惯。
4.2设置访问控制策略以限制本机器的IP地址。
检查方法:
#cat /etc/ssh/sshd_config查看是否有AllowUsers的语句。
备份方法:
# CP-p/etc/ssh/sshd _ config/etc/ssh/sshd _ config _ bak
加固方法:
#vi /etc/ssh/sshd_config,添加以下语句
AllowUsers *@10.138。*.*这句话的意思是:只允许10.138.0.0/16网段内的所有用户通过ssh访问。
保存并重启ssh服务。
#服务sshd重启
风险:有必要确认可以由管理员管理的IP段。
4.3禁止root用户远程登录。
检查方法:
#cat /etc/ssh/sshd_config查看PermitRootLogin是否为no
备份方法:
# CP-p/etc/ssh/sshd _ config/etc/ssh/sshd _ config _ bak
加固方法:
#vi /etc/ssh/sshd_config
PermitRootLogin登录号
保存并重启ssh服务。
服务sshd重启
4.4有限信任主机
检查方法:
#cat /etc/hosts.equiv检查主机。
#cat /$HOME/。rhosts以查看其中的主机
备份方法:
# CP-p/etc/hosts . equiv/etc/hosts . equiv _ bak
#cp -p /$HOME/。rhosts /$HOME/。罗兹贝克
加固方法:
#vi /etc/hosts.equiv删除不必要的主机。
#vi /$HOME/。rhosts删除不必要的主机。
风险:在多机备份环境下,需要保留其他主机的可信IP。
4.5阻止登录横幅信息
检查方法:
#cat /etc/ssh/sshd_config查看文件中是否存在标题字段,或者标题字段是否为NONE。
#cat /etc/motd查看文件的内容,这些内容将作为标题信息显示给登录的用户。
备份方法:
# CP-p/etc/ssh/sshd _ config/etc/ssh/sshd _ config _ bak
#cp -p /etc/motd /etc/motd_bak
加固方法:
#vi /etc/ssh/sshd_config
无横幅
#vi /etc/motd
删除所有内容或更新您要添加的内容。
风险:无可见风险。
4.6防止误用Ctrl Alt Del来重启系统
检查方法:
# cat/etc/inittab | grep ctrl alt del查看输入行是否被注释。
备份方法:
# CP-p/etc/inittab/etc/inittab _ bak
加固方法:
#vi /etc/inittab
在行首添加注释符号' # '
# ca:ctrl altdel:/sbin/shut down-T3-r now
动词(verb的缩写)用户认证
5.1设置账号锁定登录失败的次数和时间。
检查方法:
#cat /etc/pam.d/system-auth检查是否有任何auth required pam_tally.so条目的设置。
备份方法:
# CP-p/etc/PAM . d/system-auth/etc/PAM . d/system-auth _ bak
加固方法:
#vi /etc/pam.d/system-auth
需要验证PAM _ tally。soon err=fail deny=6 unlock _ time=300设置为连续锁定密码6次,锁定时间为300秒。
解锁用户失败日志-u用户名-r
风险:需要PAM包的支持;对pam文件的修改要仔细检查,一旦出现错误会导致无法登录;
当系统认证出现问题时,首先要检查/var/log/messages或者/var/log/secure中的输出信息,根据这些信息判断用户账号的有效性。
5.2修改账号TMOUT值,设置自动注销时间。
检查方法:
#cat /etc/profile检查是否有TMOUT的设置。
备份方法:
# CP-p/etc/profile/etc/profile _ bak
加固方法:
#vi /etc/profile
提高
TMOUT=600无操作600秒后自动退出
风险:无可见风险。
5.3 Grub/Lilo密码
检查方法:
# cat/etc/grub . conf | grep password查看grub是否设置了密码。
# cat/etc/lilo . conf | grep password检查lilo是否设置了密码。
备份方法:
# CP-p/etc/grub . conf/etc/grub . conf _ bak
# CP-p/etc/lilo . conf/etc/lilo . conf _ bak
强化:为grub或lilo设置密码
风险:etc/grub.conf通常链接到/boot /boot/grub/grub.conf
5.4限制FTP登录
检查方法:
#cat /etc/ftpusers确认其中是否包含不允许登录FTP服务的用户名。
备份方法:
# CP-p/etc/ftpusers/etc/ftpusers _ bak
加固方法:
#vi /etc/ftpusers添加行,每行包含一个用户名,添加的用户将被禁止登录FTP服务。
风险:无可见风险。
5.5设置Bash保留历史命令的数量。
检查方法:
#cat /etc/profile|grep HISTSIZE=
# cat/etc/profile | grepHistFileSize=查看要保留历史记录的命令数量。
备份方法:
# CP-p/etc/profile/etc/profile _ bak
加固方法:
#vi /etc/profile
修改HISTSIZE=5和HISTFILESIZE=5以保留五个新执行的命令。
不及物动词审计策略
6.1配置系统日志策略配置文件
检查方法:
# PSAEF | grep系统日志确认系统日志是否已启用。
#cat /etc/syslog.conf检查syslogd的配置,确认日志文件是否存在。
系统日志(默认)/var/log/messages
Cron日志(默认)/var/log/cron
安全日志(默认)/var/log/secure
备份方法: