Redhat Linux安全加固
一. 系统信息
查看内核信息 查看所有软件包 查看主机名 查看网络配置 查看路由表 查看开放端口 查看当前进程 uname -a rpm -qa hostname ifconfig -a netstat -rn netstat -an ps -aux 二. 账号
2.1 禁用无用账号
操作目的 检查方法 减少系统无用账号,降低风险 使用命令“cat /etc/passwd”查看口令文件,与系统管理员确认不必要的账号 FTP等服务的账号,如果不需要登录系统,shell应该/sbin/nologin 加固方法 使用命令“passwd -l <用户名>”锁定不必要的账号 使用命令“passwd -u <用户名>”解锁不必要的账号 是否实施 备注
需要与管理员确认此项操作不会影响到业务系统的登录 2.2 检查特殊账号
操作目的 检查方法 查看空口令和root权限的账号 使用命令“awk -F: '($2==\”查看空口令账号 使用命令“awk -F: '($3==0)' /etc/passwd”查看UID为零的账号
加固方法 使用命令“passwd <用户名>”为空口令账号设定密码 UID为零的账号应该只有root 是否实施 备注
2.3 添加口令策略
操作目的 检查方法 加强口令的复杂度等,降低被猜解的可能性 使用命令“cat /etc/login.defs|grep PASS”和“cat /etc/pam.d/system-auth”查看密码策略设置 加固方法 1,使用命令“vi /etc/login.defs”修改配置文件 PASS_MAX_DAYS 90 #新建用户的密码最长使用天数 PASS_MIN_DAYS 0 #新建用户的密码最短使用天数PASS_WARN_AGE 7 #新建用户的密码到期提前提醒天数 使用chage命令修改用户设置,例如: chage -m 0 -M 30 -E 2000-01-01 -W 7 <用户名> 表示:将此用户的密码最长使用天数设为30,最短使用天数设为0,密码2000年1月1日过期,过期前7天里警告用户 2,设置连续输错3次密码,账号锁定5分钟 auth required pam_env.so auth required pam_tally.so onerr=fail deny=3 unlock_time=300 auth sufficient pam_unix.so nullok try_first_pass auth requisite pam_succeed_if.so uid >= 500 quiet auth required pam_deny.so 注:解锁用户 faillog -u <用户名> -r 是否实施 备注
锁定用户功能谨慎使用,密码策略对root不生效 2.4 检查Grub/Lilo密码
操作目的
查看系统引导管理器是否设置密码 检查方法 使用命令“cat /etc/grub.conf|grep password”查看grub是否设置密码 使用命令“cat /etc/lilo.conf|grep password”查看lilo是否设置密码 加固方法 是否实施 备注
为grub或lilo设置密码 /etc/grub.conf通常会链接到/boot/grub/grub.conf 2.5 限制FTP登录
操作目的 检查方法 禁止不必要的用户登录FTP服务,降低风险 使用命令“cat /etc/ftpusers”查看配置文件,确认是否包含用户名,这些用户名不允许登录FTP服务 加固方法 使用命令“vi /etc/ftpusers”修改配置文件,添加行,每行包含一个用户名,禁止此用户登录FTP服务 是否实施 备注 2.6 限制用户su
操作目的 检查方法 限制能su到root的用户 使用命令“cat /etc/pam.d/su|grep pam_wheel.so”查看配置文件,确认是否有相关限制 加固方法 使用命令“vi /etc/pam.d/su”修改配置文件,添加行 例如:只允许test组用户su到root auth required pam_wheel.so group=test 是否实施 备注
相关推荐:
loading