《通用linux系统安全加固》由会员分享,可在线阅读,更多相关《通用linux系统安全加固(37页珍藏版)》请在金锄头文库上搜索。
1、通用linuX系安全加 固手册1帐户安全配置要求1.1创建/etc/shadow影子口令文件配置项名 称设置影子口令模式检查方法执行:#more /etc/shadow查看是否存在该文件操作步骤1、执行备份:#cp -p /etc/passwd /etc/passwd_bak2、切换到影子口令模式:#pwconv回退操作执行:#pwunconv#cp /etc/passwd_bak /etc/passwd风险说明系统默认使用标准口令模式,切换不成功可能导致整个用户管理失效1.2建立多帐户组,将用户账号分配到相应的帐户组配置项名 称建立多帐户组,将用户账号分配到相应的帐户组检查方法1、执行:#m
2、ore /etc/group#more /etc/shadow查看每个组中的用户或每个用户属于那个组2、确认需要修改用户组的用户操作步骤1、执行备份:#cp -p /etc/group /etc/group_bak2、修改用户所属组:# usermod -g group username回退操作执行:#cp /etc/group_bak /etc/group风险说明修改用户所属组可能导致某些应用无法正常运行1.3删除或锁定可能无用的帐户配置项名 称删除或锁定可能无用的帐户检查方法1、执行:#more /etc/passwd查看是否存在以下可能无用的帐户:hpsmh、named、uucp、nuu
3、cp、adm、daemon、bin、lp2、与管理员确认需要锁定的帐户操作步骤1、执行备份:#cp -p /etc/passwd /etc/passwd_bak2、锁定无用帐户:#passwd -l username回退操作执行:#cp /etc/passwd_bak /etc/passwd风险说明锁定某些用户可能导致某些应用无法正常运行1.4删除可能无用的用户组配置项名 称删除可能无用的用户组检查方法1、执行:#more /etc/group查看是否存在以下可能无用的用户组:lp nuucp nogroup2、与管理员确认需要删除的用户组操作步骤1、执行备份:#cp -p /etc/grou
4、p /etc/group_bak2、删除无用的用户组:#groupdel groupname回退操作执行:#cp /etc/group_bak /etc/group风险说明删除某些组可能导致某些应用无法正常运行1.5检查是否存在空密码的帐户配置项名 称检查是否存在空密码的帐户检查方法执行下列命令,检查是否存在空密码的帐户logins -p应无回结果操作步骤1、执行备份:#cp -p /etc/passwd /etc/passwd_bak#cp -p /etc/shadow /etc/shadow_bak2、锁定空密码帐户或使用passwd命令设置复杂密码#passwd -l username回
5、退操作执行:#cp -p /etc/passwd_bak /etc/passwd#cp -p /etc/shadow_bak /etc/shadow风险说明锁定某些帐户可能导致某些应用无法正常运行1.6设置口令策略满足复杂度要求配置项名 称设置口令策略满足复杂度要求检查方法1、执行下列命令,检查是否存在空密码的帐户 #logins -pultrpower箱州泰富应无返回结果2、执行:#more /etc/default/security检查是否满足以下各项复杂度参数:MIN_PASSWORD_LENGTH=6PASSWORD_MIN_UPPER_CASE_CHARS=1PASSWORD_MIN
6、_LOWER_CASE_CHARS=1PASSWORD_MIN_DIGIT_CHARS=1PASSWORD_MIN_SPECIAL_CHARS=1操作步骤1、执行备份:#cp -p /etc/default/security /etc/default/security_bak#cp -p /etc/passwd /etc/passwd_bak2、执行下列命令,编辑/etc/default/security#vi /etc/default/security修改以下各项复杂度参数:MIN_PASSWORD_LENGTH=6PASSWORD_MIN_UPPER_CASE_CHARS=1PASSWOR
7、D_MIN_LOWER_CASE_CHARS=1PASSWORD_MIN_DIGIT_CHARS=1PASSWORD_MIN_SPECIAL_CHARS=1回退操作执行:#cp /etc/default/security_bak /etc/default/security#cp /etc/passwd_bak /etc/passwd风险说明可能导致非root用户修改自己的密码时多次不成功1.7设置帐户口令生存周期配置项名 称设置帐户口令生存周期检查方法执行:#more /etc/default/security查看是否存在以下各项参数:PASSWORD_MAXDAYS=90PASSWORD_W
8、ARNDAYS=28操作步骤1、执行备份:#cp -p /etc/default/security /etc/default/security_bak#cp -p /etc/passwd /etc/passwd_bak2、执行下列命令,编辑/etc/default/security#vi /etc/default/security修改以下各项参数:PASSWORD_MAXDAYS=90PASSWORD_WARNDAYS=28回退操作执行:#cp /etc/default/security_bak /etc/default/security#cp /etc/passwd_bak /etc/pas
9、swd风险说明可能在密码过期后影响正常使用及维护1.8设定密码历史,不能重复使用最近5次(含5次)内已 使用的口令配置项名 称应配置设备,使用户不能重复使用最近5次(含5次)内已使用的口令检查方法执行:#more /etc/default/security查看是否存在以下参数:PASSWORD_HISTORY_DEPTH=5操作步骤1、执行备份:#cp -p /etc/default/security /etc/default/security_bak#cp -p /etc/passwd /etc/passwd_bak2、执行下列命令,编辑/etc/default/security#vi /e
10、tc/default/securityultrpower祈州泰岳修改以下参数:PASSWORD_HISTORY_DEPTH=5回退操作执行:#cp /etc/default/security_bak /etc/default/security#cp /etc/passwd_bak /etc/passwd风险说明低风险1.9限制root用户远程登录配置项名 称root用户远程登录限制检查方法执行:#more /etc/securetty检查是否有下列行:Console执行:#more /opt/ssh/etc/sshd_config检查是否有 PermitRootLogin no操作步骤1、执行
11、备份:#cp p /etc/securetty / etc/securetty_bak#cp -p /opt/ssh/etc/sshd_config /opt/ssh/etc/sshd_config_bak2、新建一个普通用户并设置高强度密码:#useradd username#passwd username3、禁止root用户远程登录系统:#vi /etc/securetty去掉console前面的注释,保存退出#vi /opt/ssh/etc/sshd_config将 PermitRootLogin 后的 yes 改为 no回退操作执行:#cp /etc/securetty_bak /et
12、c/securetty#cp -p /opt/ssh/etc/sshd_config_bak /opt/ssh/etc/sshd_config风险说明严重改变维护人员操作习惯,必须新建一个能够执行交互式登录的普通 用户并能够通过su提升权限,可能带来新的威胁Wi -a J J IarEm . fi-H-w1.10检查passwd、group文件权限设置配置项名 称检查passwd、group文件权限设置检查方法执行:#ls -l /etc/passwd /etc/group操作步骤1、执行备份:#cp -p /etc/passwd /etc/passwd_bak#cp -p /etc/grou
13、p /etc/group_bak2、修改文件权限:#chmod 644 /etc/passwd#chmod 644 /etc/group回 退执行:#cp /etc/passwd_bak /etc/passwd#cp /etc/group_bak /etc/group风险说明权限设置不当可能导致无法执行用户管理,并可能造成某些应用运行异 常1.11删除帐户目录下的netrc/.rhosts/.shosts文件配置项名 称删除帐户目录下的.netrc/.rhosts/.shosts文件检查方法执彳丁下列命令,检查帐户目录下是否存在.netrc/.rhosts/.shosts文件# logins
14、-ox | cut -f6 -d: | grep /home/ | while read dir; do ls -a $dir ;done操作步骤1、执行备份:筋菖缀瓣俚ultrpower兰寂 以妾您用2理系统安全加固手册神州泰 岳使用cp命令备份.netrc/.rhosts/.shosts文件2、删除文件:使用 rm -f 命令删除.netrc/.rhosts/.shosts 文件回退操作使用cp命令恢复被删除的.netrc/.rhosts/.shosts文件风险说明可能影响需要使用远程连接的应用1.12系统umask设置配置项名 称系统umask设置检查方法执行:#more /etc/profile检查系统umask值操作步骤1、执行备份:#cp -p /etc/profile /etc/profile_bak2、修改umask设置:#vi /etc/profile将umask值修改为027,保存退出回退操作执行:#cp /etc/profile_bak /etc/profile风险说明umask设置不当可能导致某些应用无法正确自动创建目录或文件,从而
