linux系统安全加固手册.docx
《linux系统安全加固手册.docx》由会员分享,可在线阅读,更多相关《linux系统安全加固手册.docx(34页珍藏版)》请在冰豆网上搜索。
linux系统安全加固手册
系统安全加固手册
1 帐户安全配置要求
1.1 创建/etc/shadow影子口令文件
配置项名称
设置影子口令模式
检查方法
执行:
#more/etc/shadow
查看是否存在该文件
操作步骤
1、执行备份:
#cp–p/etc/passwd/etc/passwd_bak
2、切换到影子口令模式:
#pwconv
回退操作
执行:
#pwunconv
#cp/etc/passwd_bak/etc/passwd
风险说明
系统默认使用标准口令模式,切换不成功可能导致整个用户管理失效
1.2 建立多帐户组,将用户账号分配到相应的帐户组
配置项名称
建立多帐户组,将用户账号分配到相应的帐户组
检查方法
1、执行:
#more/etc/group
#more/etc/shadow
查看每个组中的用户或每个用户属于那个组
2、确认需要修改用户组的用户
操作步骤
1、执行备份:
#cp–p/etc/group/etc/group_bak
2、修改用户所属组:
#usermod–ggroupusername
回退操作
执行:
#cp/etc/group_bak/etc/group
风险说明
修改用户所属组可能导致某些应用无法正常运行
1.3 删除或锁定可能无用的帐户
配置项名称
删除或锁定可能无用的帐户
检查方法
1、执行:
#more/etc/passwd
查看是否存在以下可能无用的帐户:
hpsmh、named、uucp、nuucp、adm、daemon、bin、lp
2、与管理员确认需要锁定的帐户
操作步骤
1、执行备份:
#cp–p/etc/passwd/etc/passwd_bak
2、锁定无用帐户:
#passwd-lusername
回退操作
执行:
#cp/etc/passwd_bak/etc/passwd
风险说明
锁定某些用户可能导致某些应用无法正常运行
1.4 删除可能无用的用户组
配置项名称
删除可能无用的用户组
检查方法
1、执行:
#more/etc/group
查看是否存在以下可能无用的用户组:
lpnuucpnogroup
2、与管理员确认需要删除的用户组
操作步骤
1、执行备份:
#cp–p/etc/group/etc/group_bak
2、删除无用的用户组:
#groupdelgroupname
回退操作
执行:
#cp/etc/group_bak/etc/group
风险说明
删除某些组可能导致某些应用无法正常运行
1.5 检查是否存在空密码的帐户
配置项名称
检查是否存在空密码的帐户
检查方法
执行下列命令,检查是否存在空密码的帐户
logins–p
应无回结果
操作步骤
1、执行备份:
#cp–p/etc/passwd/etc/passwd_bak
#cp-p/etc/shadow/etc/shadow_bak
2、锁定空密码帐户或使用passwd命令设置复杂密码
#passwd–lusername
回退操作
执行:
#cp–p/etc/passwd_bak/etc/passwd
#cp-p/etc/shadow_bak/etc/shadow
风险说明
锁定某些帐户可能导致某些应用无法正常运行
1.6 设置口令策略满足复杂度要求
配置项名称
设置口令策略满足复杂度要求
检查方法
1、执行下列命令,检查是否存在空密码的帐户
#logins–p
应无返回结果
2、执行:
#more/etc/default/security
检查是否满足以下各项复杂度参数:
MIN_PASSWORD_LENGTH=6
PASSWORD_MIN_UPPER_CASE_CHARS=1
PASSWORD_MIN_LOWER_CASE_CHARS=1
PASSWORD_MIN_DIGIT_CHARS=1
PASSWORD_MIN_SPECIAL_CHARS=1
操作步骤
1、执行备份:
#cp–p/etc/default/security/etc/default/security_bak
#cp–p/etc/passwd/etc/passwd_bak
2、执行下列命令,编辑/etc/default/security
#vi/etc/default/security
修改以下各项复杂度参数:
MIN_PASSWORD_LENGTH=6
PASSWORD_MIN_UPPER_CASE_CHARS=1
PASSWORD_MIN_LOWER_CASE_CHARS=1
PASSWORD_MIN_DIGIT_CHARS=1
PASSWORD_MIN_SPECIAL_CHARS=1
回退操作
执行:
#cp/etc/default/security_bak/etc/default/security
#cp/etc/passwd_bak/etc/passwd
风险说明
可能导致非root用户修改自己的密码时多次不成功
1.7 设置帐户口令生存周期
配置项名称
设置帐户口令生存周期
检查方法
执行:
#more/etc/default/security
查看是否存在以下各项参数:
PASSWORD_MAXDAYS=90
PASSWORD_WARNDAYS=28
操作步骤
1、执行备份:
#cp–p/etc/default/security/etc/default/security_bak
#cp–p/etc/passwd/etc/passwd_bak
2、执行下列命令,编辑/etc/default/security
#vi/etc/default/security
修改以下各项参数:
PASSWORD_MAXDAYS=90
PASSWORD_WARNDAYS=28
回退操作
执行:
#cp/etc/default/security_bak/etc/default/security
#cp/etc/passwd_bak/etc/passwd
风险说明
可能在密码过期后影响正常使用及维护
1.8 设定密码历史,不能重复使用最近5次(含5次)内已使用的口令
配置项名称
应配置设备,使用户不能重复使用最近5次(含5次)内已使用的口令
检查方法
执行:
#more/etc/default/security
查看是否存在以下参数:
PASSWORD_HISTORY_DEPTH=5
操作步骤
1、执行备份:
#cp–p/etc/default/security/etc/default/security_bak
#cp–p/etc/passwd/etc/passwd_bak
2、执行下列命令,编辑/etc/default/security
#vi/etc/default/security
修改以下参数:
PASSWORD_HISTORY_DEPTH=5
回退操作
执行:
#cp/etc/default/security_bak/etc/default/security
#cp/etc/passwd_bak/etc/passwd
风险说明
低风险
1.9 限制root用户远程登录
配置项名称
root用户远程登录限制
检查方法
执行:
#more/etc/securetty
检查是否有下列行:
Console
执行:
#more/opt/ssh/etc/sshd_config
检查是否有PermitRootLoginno
操作步骤
1、执行备份:
#cp–p/etc/securetty/etc/securetty_bak
#cp-p/opt/ssh/etc/sshd_config/opt/ssh/etc/sshd_config_bak
2、新建一个普通用户并设置高强度密码:
#useraddusername
#passwdusername
3、禁止root用户远程登录系统:
#vi/etc/securetty
去掉console前面的注释,保存退出
#vi/opt/ssh/etc/sshd_config
将PermitRootLogin后的yes改为no
回退操作
执行:
#cp/etc/securetty_bak/etc/securetty
#cp-p/opt/ssh/etc/sshd_config_bak/opt/ssh/etc/sshd_config
风险说明
严重改变维护人员操作习惯,必须新建一个能够执行交互式登录的普通用户并能够通过su提升权限,可能带来新的威胁
1.10 检查passwd、group文件权限设置
配置项名称
检查passwd、group文件权限设置
检查方法
执行:
#ls–l/etc/passwd/etc/group
操作步骤
1、执行备份:
#cp–p/etc/passwd/etc/passwd_bak
#cp–p/etc/group/etc/group_bak
2、修改文件权限:
#chmod644/etc/passwd
#chmod644/etc/group
回退
执行:
#cp/etc/passwd_bak/etc/passwd
#cp/etc/group_bak/etc/group
风险说明
权限设置不当可能导致无法执行用户管理,并可能造成某些应用运行异常
1.11 系统umask设置
配置项名称
系统umask设置
检查方法
执行:
#more/etc/profile
检查系统umask值
操作步骤
1、执行备份:
#cp-p/etc/profile/etc/profile_bak
2、修改umask设置:
#vi/etc/profile
将umask值修改为027,保存退出
回退操作
执行:
#cp/etc/profile_bak/etc/profile
风险说明
umask设置不当可能导致某些应用无法正确自动创建目录或文件,从而运行异常
2 访问、认证安全配置要求
2.1 远程登录取消telnet采用ssh
配置项名称
远程登录取消telnet采用ssh
检查方法
查看SSH、telnet服务状态:
#ps–elf|grepssh
#ps–elf|greptelnet
SSH服务状态查看结果为:
online
telnet服务状态查看结果为:
disabled
操作步骤
1、备份#cp–p/etc/inetd.conf/etc/inetd.conf_bak
2、修改/etc/inetd.conf文件,将telnet行注释掉
#telnetstreamtcpnowaitroot/usr/lbin/telnetdtelnetd
3、重启服务#inetd-c
4、安装ssh软件包,通过#/opt/ssh/sbin/sshdstart来启动SSH。
回退操作
执行:
#cp–p/
升级会员 