linux系统安全加固手册Word文档格式.docx
《linux系统安全加固手册Word文档格式.docx》由会员分享,可在线阅读,更多相关《linux系统安全加固手册Word文档格式.docx(34页珍藏版)》请在冰豆网上搜索。
2、切换到影子口令模式:
#pwconv
回退操作
#pwunconv
#cp/etc/passwd_bak/etc/passwd
风险说明
系统默认使用标准口令模式,切换不成功可能导致整个用户管理失效
1.2
建立多帐户组,将用户账号分配到相应的帐户组
建立多帐户组,将用户账号分配到相应的帐户组
1、执行:
#more/etc/group
查看每个组中的用户或每个用户属于那个组
2、确认需要修改用户组的用户
#cp–p/etc/group/etc/group_bak
2、修改用户所属组:
#usermod–ggroupusername
#cp/etc/group_bak/etc/group
修改用户所属组可能导致某些应用无法正常运行
1.3
删除或锁定可能无用的帐户
删除或锁定可能无用的帐户
#more/etc/passwd
查看是否存在以下可能无用的帐户:
hpsmh、named、uucp、nuucp、adm、daemon、bin、lp
2、与管理员确认需要锁定的帐户
2、锁定无用帐户:
#passwd-lusername
锁定某些用户可能导致某些应用无法正常运行
1.4
删除可能无用的用户组
删除可能无用的用户组
查看是否存在以下可能无用的用户组:
lpnuucpnogroup
2、与管理员确认需要删除的用户组
2、删除无用的用户组:
#groupdelgroupname
删除某些组可能导致某些应用无法正常运行
1.5
检查是否存在空密码的帐户
检查是否存在空密码的帐户
执行下列命令,检查是否存在空密码的帐户
logins–p
应无回结果
#cp-p/etc/shadow/etc/shadow_bak
2、锁定空密码帐户或使用passwd命令设置复杂密码
#passwd–lusername
#cp–p/etc/passwd_bak/etc/passwd
#cp-p/etc/shadow_bak/etc/shadow
锁定某些帐户可能导致某些应用无法正常运行
1.6
设置口令策略满足复杂度要求
设置口令策略满足复杂度要求
1、执行下列命令,检查是否存在空密码的帐户
#logins–p
应无返回结果
2、执行:
#more/etc/default/security
检查是否满足以下各项复杂度参数:
MIN_PASSWORD_LENGTH=6
PASSWORD_MIN_UPPER_CASE_CHARS=1
PASSWORD_MIN_LOWER_CASE_CHARS=1
PASSWORD_MIN_DIGIT_CHARS=1
PASSWORD_MIN_SPECIAL_CHARS=1
#cp–p/etc/default/security/etc/default/security_bak
2、执行下列命令,编辑/etc/default/security
#vi/etc/default/security
修改以下各项复杂度参数:
#cp/etc/default/security_bak/etc/default/security
可能导致非root用户修改自己的密码时多次不成功
1.7
设置帐户口令生存周期
设置帐户口令生存周期
查看是否存在以下各项参数:
PASSWORD_MAXDAYS=90
PASSWORD_WARNDAYS=28
修改以下各项参数:
可能在密码过期后影响正常使用及维护
1.8
设定密码历史,不能重复使用最近5次(含5次)内已使用的口令
应配置设备,使用户不能重复使用最近5次(含5次)内已使用的口令
查看是否存在以下参数:
PASSWORD_HISTORY_DEPTH=5
修改以下参数:
低风险
1.9
限制root用户远程登录
root用户远程登录限制
#more/etc/securetty
检查是否有下列行:
Console
#more/opt/ssh/etc/sshd_config
检查是否有PermitRootLoginno
#cp–p/etc/securetty/etc/securetty_bak
#cp-p/opt/ssh/etc/sshd_config/opt/ssh/etc/sshd_config_bak
2、新建一个普通用户并设置高强度密码:
#useraddusername
#passwdusername
3、禁止root用户远程登录系统:
#vi/etc/securetty
去掉console前面的注释,保存退出
#vi/opt/ssh/etc/sshd_config
将PermitRootLogin后的yes改为no
#cp/etc/securetty_bak/etc/securetty
#cp-p/opt/ssh/etc/sshd_config_bak/opt/ssh/etc/sshd_config
严重改变维护人员操作习惯,必须新建一个能够执行交互式登录的普通用户并能够通过su提升权限,可能带来新的威胁
1.10
检查passwd、group文件权限设置
检查passwd、group文件权限设置
#ls–l/etc/passwd/etc/group
2、修改文件权限:
#chmod644/etc/passwd
#chmod644/etc/group
回退
权限设置不当可能导致无法执行用户管理,并可能造成某些应用运行异常
1.11
系统umask设置
系统umask设置
#more/etc/profile
检查系统umask值
#cp-p/etc/profile/etc/profile_bak
2、修改umask设置:
#vi/etc/profile
将umask值修改为027,保存退出
#cp/etc/profile_bak/etc/profile
umask设置不当可能导致某些应用无法正确自动创建目录或文件,从而运行异常
2
访问、认证安全配置要求
2.1
远程登录取消telnet采用ssh
远程登录取消telnet采用ssh
查看SSH、telnet服务状态:
#ps–elf|grepssh
#ps–elf|greptelnet
SSH服务状态查看结果为:
online
telnet服务状态查看结果为:
disabled
1、备份#cp–p/etc/inetd.conf/etc/inetd.conf_bak
2、修改/etc/inetd.conf文件,将telnet行注释掉
#telnetstreamtcpnowaitroot/usr/lbin/telnetdtelnetd
3、重启服务#inetd-c
4、安装ssh软件包,通过#/opt/ssh/sbin/sshdstart来启动SSH。
#cp–p/