一、       账号策略

1.1 检查是否存在空口令账号

检查方法:

awk -F: '($2 == ""){print}' /etc/passwd

 

备份方法:

cp -p /etc/passwd  /etc/passwd_bak

 

加固方法:

使用命令passwd  <用户名>设置密码。

 

回退方法:

rsync –avp  /etc/passwd_bak  /etc/passwd

 

1.2 检查是否设置除root之外UID为0的用户

检查方法:

awk -F: '($3 == "0") {print}'/etc/passwd

 

备份方法:

cp -p /etc/passwd  /etc/passwd_bak

 

加固方法:

使用命令passwd -l <用户名>锁定不必要的超级账户。

使用命令passwd -u <用户名>解锁需要恢复的超级账户。

 

回退方法:

rsync –avp  /etc/passwd_bak  /etc/passwd

 

1.3 检查是否按组进行账号管理

检查方法:

cat /etc/pam.d/system-auth

 

备份方法:

cp -p /etc/pam.d/system-auth /etc/pam.d/system-auth_bak

加固方法:

添加以下内容

auth  required pam_tally.so deny=5 unlock_time=600 no_lock_time

account  required  pam_tally.so

 

回退方法:

rsync –avp  /etc/pam.d/system-auth_bak /etc/pam.d/system-auth

 

1.4 检查是否设置系统引导管理器密码

检查方法:

cat /boot/grub/grub.conf

备份方法:

cp -p /boot/grub/grub.conf  /boot/grub/grub.conf_bak

 

加固方法:

grub-md5-crypt

将执行之后的结果集添加配置文件中/boot/grub/grub.conf

 

回退方法:

rsync –avp  /boot/grub/grub.conf_bak /boot/grub/grub.conf

 

二、       文件访问控制

1.1 检查用户目录缺省访问权限设置

检查方法:

cat /etc/login.defs

备份方法:

cp -p cat /etc/login.defs   /etc/login.defs_bak

 

加固方法:

vi /etc/login.defs

在末尾增加umask 027或UMASK  027,将缺省访问权限设置为750。

 

回退方法:

rsync –avp  /etc/login.defs_bak /etc/login.defs

1.2 检查重要目录或文件权限设置

检查方法:

cat /etc/profile

 

备份方法:

cp -p /etc/profile/etc/profile_bak

 

加固方法:

在文件/etc/profile中设置umask 077或UMASK 077

 

回退方法:

rsync –avp  /etc/profile_bak  /etc/profile

 

三、       日志管理

检查安全事件日志配置

检查方法:

cat /etc/syslog.conf

 

备份方法:

cp -p /etc/syslog.conf/etc/syslog.conf_bak

 

加固方法:

编辑/etc/syslog.conf

配置:

*.err;kern.debug;daemon.notice                          /var/adm/messages

其中/var/adm/messages为日志文件。

如果该文件不存在,则创建该文件,命令为:

touch /var/adm/messages,并修改权限为666.命令为:chmod666 /var/adm/messages.  

重启日志服务:/etc/init.d/syslogrestart

 

回退方法:

rsync –avp  /etc/syslog.conf_bak  /etc/syslog.conf

 

四、       远程登录

1.1 检查是否修改snmp默认团体字

检查方法:

cat /etc/snmp/snmpd.conf

 

备份方法:

cp -p /etc/snmp/snmpd.conf/etc/snmp/snmpd.conf_bak

 

加固方法:

编辑/etc/snmp/snmpd.conf,修改public默认团体字为用户自定义团体字。

 

回退方法:

rsync –avp  /etc/snmp/snmpd.conf_bak  /etc/snmp/snmpd.conf

1.2 检查系统openssh安全配置

检查方法:

cat /etc/ssh/sshd_config

 

备份方法:

cp -p /etc/ssh/sshd_config/etc/ssh/sshd_config_bak

 

加固方法:

在添加内容/etc/ssh/sshd_config

Protocol 2

PermitRootLogin NO

 

回退方法:

rsync –avp  /etc/ssh/sshd_config_bak /etc/ssh/sshd_config

五、       系统服务

1.1 检查NFS(网络文件系统)服务配置

检查方法:

cat /etc/hosts.allow

 

备份方法:

cp -p /etc/hosts.allow /etc/hosts.allow_bak

 

加固方法:

限制能够访问NFS服务的IP范围,编辑文件vi /etc/hosts.allow增加一行:portmap允许访问的IP

 

回退方法:

rsync –avp  /etc/hosts.allow_bak /etc/hosts.allow

 

1.2 检查是否使用NTP(网络时间协议)保持时间同步

检查方法:

cat /etc/ntp.conf

 

备份方法:

cp -p /etc/ntp.conf/etc/ntp.conf_bak

 

加固方法:

vi /etc/ntp.conf

配置:server IP地址(提供ntp服务的机器)

 

回退方法:

rsync –avp  /etc/ntp.conf_bak /etc/ntp.conf

 

Logo
Linux

更多推荐

网卡速率和双工模式的配置

http://linux.chinaitlab.com/system/792187.html1、mii-tool 配置网络设备协商方式的工具;    1.1 mii-tool 介绍;    mii-tool - view, manipulate media-independent interface status (mii-tool 是查看,管理介质的网络接口的状态)

avatar Linux

Linux虚拟文件系统之文件系统卸载(sys_umount())

Linux中卸载文件系统由umount系统调用实现,入口函数为sys_umount()。较于文件系统的安装较为简单,下面是具体的实现。1. /*sys_umont系统调用*/2. SYSCALL_DEFINE2(umount, char __user *, name, int, flags)3. {4.struct path path;

avatar Linux

Linux系统下超级终端Minicom的使用方法(例如:连接交换机,路由器等)转http://baike.baidu.com/view/2911642.htm?fr=ala0_1

<br />  Linux系统下超级终端Minicom的使用方法 <br />  Linux下的Minicom的功能与下的超级终端功能相似,适于在通过超级终端对设备的管理以及对嵌入操作系统的升级,现写出Minicom的使用手册: <br />  1. 启动minicom <br />  以root权限登录系统 <br />  使用命令 <br />  minicom –s 则minicom启动,屏

avatar Linux