通用linux系统安全加固

aawe2d
2 ℃
2020-05-22

整理文档很辛苦，赏杯茶钱您下走！

还剩 ... 页未读，继续阅读 >>

免费阅读已结束，点击下载阅读编辑剩下 ... 页

阅读已结束，您可以下载文档离线阅读编辑

资源描述

通用linux系统安全加固手册我们为客户交付安全IT运行能力神州泰岳软件股份有限公司创创建建//eettcc//sshhaaddooww影影子子口口令令文文件件配置项名称设置影子口令模式检查方法执行：#more/etc/shadow查看是否存在该文件操作步骤1、执行备份：#cp–p/etc/passwd/etc/passwd_bak2、切换到影子口令模式：#pwconv回退操作执行：#pwunconv#cp/etc/passwd_bak/etc/passwd风险说明系统默认使用标准口令模式，切换不成功可能导致整个用户管理失效11..22建建立立多多帐帐户户组组，，将将用用户户账账号号分分配配到到相相应应的的帐帐户户组组配置项名称建立多帐户组，将用户账号分配到相应的帐户组检查方法1、执行：#more/etc/group#more/etc/shadow查看每个组中的用户或每个用户属于那个组2、确认需要修改用户组的用户操作步骤1、执行备份：#cp–p/etc/group/etc/group_bak我们为客户交付安全IT运行能力神州泰岳软件股份有限公司、修改用户所属组：#usermod–ggroupusername回退操作执行：#cp/etc/group_bak/etc/group风险说明修改用户所属组可能导致某些应用无法正常运行11..33删删除除或或锁锁定定可可能能无无用用的的帐帐户户配置项名称删除或锁定可能无用的帐户检查方法1、执行：#more/etc/passwd查看是否存在以下可能无用的帐户：hpsmh、named、uucp、nuucp、adm、daemon、bin、lp2、与管理员确认需要锁定的帐户操作步骤1、执行备份：#cp–p/etc/passwd/etc/passwd_bak2、锁定无用帐户：#passwd-lusername回退操作执行：#cp/etc/passwd_bak/etc/passwd风险说明锁定某些用户可能导致某些应用无法正常运行11..44删删除除可可能能无无用用的的用用户户组组配置项名称删除可能无用的用户组检查方法1、执行：#more/etc/group查看是否存在以下可能无用的用户组：lpnuucpnogroup我们为客户交付安全IT运行能力神州泰岳软件股份有限公司、与管理员确认需要删除的用户组操作步骤1、执行备份：#cp–p/etc/group/etc/group_bak2、删除无用的用户组：#groupdelgroupname回退操作执行：#cp/etc/group_bak/etc/group风险说明删除某些组可能导致某些应用无法正常运行11..55检检查查是是否否存存在在空空密密码码的的帐帐户户配置项名称检查是否存在空密码的帐户检查方法执行下列命令，检查是否存在空密码的帐户logins–p应无回结果操作步骤1、执行备份：#cp–p/etc/passwd/etc/passwd_bak#cp-p/etc/shadow/etc/shadow_bak2、锁定空密码帐户或使用passwd命令设置复杂密码#passwd–lusername回退操作执行：#cp–p/etc/passwd_bak/etc/passwd#cp-p/etc/shadow_bak/etc/shadow风险说明锁定某些帐户可能导致某些应用无法正常运行11..66设设置置口口令令策策略略满满足足复复杂杂度度要要求求配置项名称设置口令策略满足复杂度要求检查方法1、执行下列命令，检查是否存在空密码的帐户#logins–p我们为客户交付安全IT运行能力神州泰岳软件股份有限公司、执行：#more/etc/default/security检查是否满足以下各项复杂度参数：MIN_PASSWORD_LENGTH=6PASSWORD_MIN_UPPER_CASE_CHARS=1PASSWORD_MIN_LOWER_CASE_CHARS=1PASSWORD_MIN_DIGIT_CHARS=1PASSWORD_MIN_SPECIAL_CHARS=1操作步骤1、执行备份：#cp–p/etc/default/security/etc/default/security_bak#cp–p/etc/passwd/etc/passwd_bak2、执行下列命令，编辑/etc/default/security#vi/etc/default/security修改以下各项复杂度参数：MIN_PASSWORD_LENGTH=6PASSWORD_MIN_UPPER_CASE_CHARS=1PASSWORD_MIN_LOWER_CASE_CHARS=1PASSWORD_MIN_DIGIT_CHARS=1PASSWORD_MIN_SPECIAL_CHARS=1回退操作执行：#cp/etc/default/security_bak/etc/default/security#cp/etc/passwd_bak/etc/passwd风险说明可能导致非root用户修改自己的密码时多次不成功11..77设设置置帐帐户户口口令令生生存存周周期期配置项名称设置帐户口令生存周期检查方法执行：#more/etc/default/security我们为客户交付安全IT运行能力神州泰岳软件股份有限公司系统安全加固手册查看是否存在以下各项参数：PASSWORD_MAXDAYS=90PASSWORD_WARNDAYS=28操作步骤1、执行备份：#cp–p/etc/default/security/etc/default/security_bak#cp–p/etc/passwd/etc/passwd_bak2、执行下列命令，编辑/etc/default/security#vi/etc/default/security修改以下各项参数：PASSWORD_MAXDAYS=90PASSWORD_WARNDAYS=28回退操作执行：#cp/etc/default/security_bak/etc/default/security#cp/etc/passwd_bak/etc/passwd风险说明可能在密码过期后影响正常使用及维护11..88设设定定密密码码历历史史，，不不能能重重复复使使用用最最近近55次次（（含含55次次））内内已已使使用用的的口口令令配置项名称应配置设备，使用户不能重复使用最近5次（含5次）内已使用的口令检查方法执行：#more/etc/default/security查看是否存在以下参数：PASSWORD_HISTORY_DEPTH=5操作步骤1、执行备份：#cp–p/etc/default/security/etc/default/security_bak#cp–p/etc/passwd/etc/passwd_bak2、执行下列命令，编辑/etc/default/security#vi/etc/default/security我们为客户交付安全IT运行能力神州泰岳软件股份有限公司系统安全加固手册修改以下参数：PASSWORD_HISTORY_DEPTH=5回退操作执行：#cp/etc/default/security_bak/etc/default/security#cp/etc/passwd_bak/etc/passwd风险说明低风险11..99限限制制rroooott用用户户远远程程登登录录配置项名称root用户远程登录限制检查方法执行：#more/etc/securetty检查是否有下列行：Console执行：#more/opt/ssh/etc/sshd_config检查是否有PermitRootLoginno操作步骤1、执行备份：#cp–p/etc/securetty/etc/securetty_bak#cp-p/opt/ssh/etc/sshd_config/opt/ssh/etc/sshd_config_bak2、新建一个普通用户并设置高强度密码：#useraddusername#passwdusername3、禁止root用户远程登录系统：#vi/etc/securetty去掉console前面的注释，保存退出#vi/opt/ssh/etc/sshd_config将PermitRootLogin后的yes改为no回退操作执行：我们为客户交付安全IT运行能力神州泰岳软件股份有限公司系统安全加固手册#cp/etc/securetty_bak/etc/securetty#cp-p/opt/ssh/etc/sshd_config_bak/opt/ssh/etc/sshd_config风险说明严重改变维护人员操作习惯，必须新建一个能够执行交互式登录的普通用户并能够通过su提升权限，可能带来新的威胁11..1100检检查查ppaasssswwdd、、ggrroouupp文文件件权权限限设设置置配置项名称检查passwd、group文件权限设置检查方法执行：#ls–l/etc/passwd/etc/group操作步骤1、执行备份：#cp–p/etc/passwd/etc/passwd_bak#cp–p/etc/group/etc/group_bak2、修改文件权限：#chmod644/etc/passwd#chmod644/etc/group回退执行：#cp/etc/passwd_bak/etc/passwd#cp/etc/group_bak/etc/group风险说明权限设置不当可能导致无法执行用户管理，并可能造成某些应用运行异常11..1111删删除除帐帐户户目目录录下下的的..nneettrrcc//..rrhhoossttss//..sshhoossttss文文件件配置项名称删除帐户目录下的.netrc/.rhosts/.shosts文件检查方法执行下列命令，检查帐户目录下是否存在.netrc/.rhosts/.shosts文件#logins-ox|cut-f6-d:|grep/home/|whilereaddir;dols-a$dir;done操作步骤1、执行备份：我们为客户交付安全IT运行能力神州泰岳软件股份有限公司文件2、删除文件：使用rm-f命令删除.netrc/.rhosts/.shosts文件回退操作使用cp命令恢复被删除的.netrc/.rhosts/.shosts文件风险说明可能影响需要使用远程连接的应用11..1122系系统统uummaasskk设设置置配置项名称系统umask设置检查方法执行：#more/etc/profile检查系统umask值操作步骤1、执行备份：#cp-p/etc/profile/etc/profile_bak2、修改umask设置：#vi/etc/profile将umask值修改为027，保存退出回退操作执行：#cp/etc/profile_bak/etc/profile风险说明umask设置不当可能导致某些应用无法正确自动创建目录或文件，从而运行异常22访访问问、、认认证证安安全全配配置置要要求求22..11远远程程登登录录取取消消tteellnneett采采用用sssshh配置项名称远程登录取消telnet采用ssh检查方法查看SSH