linux系统安全加固手册Word文档格式.docx

linux系统安全加固手册Word文档格式.docx

《linux系统安全加固手册Word文档格式.docx》由会员分享，可在线阅读，更多相关《linux系统安全加固手册Word文档格式.docx（34页珍藏版）》请在冰豆网上搜索。

2、切换到影子口令模式：

#pwconv

回退操作

#pwunconv

#cp/etc/passwd_bak/etc/passwd

风险说明

系统默认使用标准口令模式，切换不成功可能导致整个用户管理失效

1.2 

建立多帐户组，将用户账号分配到相应的帐户组

建立多帐户组，将用户账号分配到相应的帐户组

1、执行：

#more/etc/group

查看每个组中的用户或每个用户属于那个组

2、确认需要修改用户组的用户

#cp–p/etc/group/etc/group_bak

2、修改用户所属组：

#usermod–ggroupusername

#cp/etc/group_bak/etc/group

修改用户所属组可能导致某些应用无法正常运行

1.3 

删除或锁定可能无用的帐户

删除或锁定可能无用的帐户

#more/etc/passwd

查看是否存在以下可能无用的帐户：

hpsmh、named、uucp、nuucp、adm、daemon、bin、lp

2、与管理员确认需要锁定的帐户

2、锁定无用帐户：

#passwd-lusername

锁定某些用户可能导致某些应用无法正常运行

1.4 

删除可能无用的用户组

删除可能无用的用户组

查看是否存在以下可能无用的用户组：

lpnuucpnogroup

2、与管理员确认需要删除的用户组

2、删除无用的用户组：

#groupdelgroupname

删除某些组可能导致某些应用无法正常运行

1.5 

检查是否存在空密码的帐户

检查是否存在空密码的帐户

执行下列命令，检查是否存在空密码的帐户

logins–p

应无回结果

#cp-p/etc/shadow/etc/shadow_bak

2、锁定空密码帐户或使用passwd命令设置复杂密码

#passwd–lusername

#cp–p/etc/passwd_bak/etc/passwd

#cp-p/etc/shadow_bak/etc/shadow

锁定某些帐户可能导致某些应用无法正常运行

1.6 

设置口令策略满足复杂度要求

设置口令策略满足复杂度要求

1、执行下列命令，检查是否存在空密码的帐户

#logins–p

应无返回结果

2、执行：

#more/etc/default/security

检查是否满足以下各项复杂度参数：

MIN_PASSWORD_LENGTH=6

PASSWORD_MIN_UPPER_CASE_CHARS=1

PASSWORD_MIN_LOWER_CASE_CHARS=1

PASSWORD_MIN_DIGIT_CHARS=1

PASSWORD_MIN_SPECIAL_CHARS=1

#cp–p/etc/default/security/etc/default/security_bak

2、执行下列命令，编辑/etc/default/security

#vi/etc/default/security

修改以下各项复杂度参数：

#cp/etc/default/security_bak/etc/default/security

可能导致非root用户修改自己的密码时多次不成功

1.7 

设置帐户口令生存周期

设置帐户口令生存周期

查看是否存在以下各项参数：

PASSWORD_MAXDAYS=90

PASSWORD_WARNDAYS=28

修改以下各项参数：

可能在密码过期后影响正常使用及维护

1.8 

设定密码历史，不能重复使用最近5次（含5次）内已使用的口令

应配置设备，使用户不能重复使用最近5次（含5次）内已使用的口令

查看是否存在以下参数：

PASSWORD_HISTORY_DEPTH=5

修改以下参数：

低风险

1.9 

限制root用户远程登录

root用户远程登录限制

#more/etc/securetty

检查是否有下列行：

Console

#more/opt/ssh/etc/sshd_config

检查是否有PermitRootLoginno

#cp–p/etc/securetty/etc/securetty_bak

#cp-p/opt/ssh/etc/sshd_config/opt/ssh/etc/sshd_config_bak

2、新建一个普通用户并设置高强度密码：

#useraddusername

#passwdusername

3、禁止root用户远程登录系统：

#vi/etc/securetty

去掉console前面的注释，保存退出

#vi/opt/ssh/etc/sshd_config

将PermitRootLogin后的yes改为no

#cp/etc/securetty_bak/etc/securetty

#cp-p/opt/ssh/etc/sshd_config_bak/opt/ssh/etc/sshd_config

严重改变维护人员操作习惯，必须新建一个能够执行交互式登录的普通用户并能够通过su提升权限，可能带来新的威胁

1.10 

检查passwd、group文件权限设置

检查passwd、group文件权限设置　

#ls–l/etc/passwd/etc/group

2、修改文件权限：

#chmod644/etc/passwd

#chmod644/etc/group

回退

权限设置不当可能导致无法执行用户管理，并可能造成某些应用运行异常

1.11 

系统umask设置

系统umask设置

#more/etc/profile

检查系统umask值

#cp-p/etc/profile/etc/profile_bak

2、修改umask设置：

#vi/etc/profile

将umask值修改为027，保存退出

#cp/etc/profile_bak/etc/profile

umask设置不当可能导致某些应用无法正确自动创建目录或文件，从而运行异常

2 

访问、认证安全配置要求

2.1 

远程登录取消telnet采用ssh

远程登录取消telnet采用ssh

查看SSH、telnet服务状态：

#ps–elf|grepssh

#ps–elf|greptelnet

SSH服务状态查看结果为：

online

telnet服务状态查看结果为：

disabled

1、备份#cp–p/etc/inetd.conf/etc/inetd.conf_bak

2、修改/etc/inetd.conf文件，将telnet行注释掉

#telnetstreamtcpnowaitroot/usr/lbin/telnetdtelnetd

3、重启服务#inetd-c

4、安装ssh软件包，通过#/opt/ssh/sbin/sshdstart来启动SSH。

#cp–p/