碼上快樂

相關內容    簡體    繁體

SUSE 系統加固

本文轉載自   查看原文   2018-11-11 11:18   671    suse

1.身份鑒別

1.1   檢查是否設置口令復雜度             

#vi /etc/pam.d/common-password  改為如下兩行:

password requisite pam_cracklib.so minlen=8 ucredit=-1 lcredit=-1 dcredit=-1 
password required pam_unix2.so use_authtok nullok

密碼要求: (minlen=8)最少8位,(ucredit=-1)至少包含1個大寫字母,(lcredit=-1)至少包含一個小寫字母,(dcredit=-1)至少包含一個數字個數,(ocredit=-1)至少包含一個特殊字符

 

1.2   檢查是否設置口令生存期

#vi /etc/login.defs  中確保為如下值

        PASS_MAX_DAYS 90

 

1.3   檢查是否刪除無關賬號   

鎖定如下賬號                 鎖定后登陸頁面不會顯示該用戶

#usermod -L games

#usermod -L nobody

 

2.訪問控制

2.1   檢查是否配置登陸超時時間設置

#vi /etc/profile  確保如下設置

export TMOUT=600

 

2.2   檢查是否設置文件與目錄缺省權限

#vi /etc/profile  確保如下設置

umask 027

 

2.3   普通用戶不允許Root登錄

vi /etc/pam.d/su

添加 auth suffcient pam_rootok.so

添加auth required pam_wheel.so group=wheel

cat /etc/group

查看是否存在wheel組,沒有則添加組wheel

 

2.4   檢查是否記錄cron行為日志

#vi /etc/rsyslog.conf   確保開啟如下設置

cron.*   /var/log/cron

 

如果/var/log/cron文件不存在:

#touch /var/log/cron

#chmod 775 /var/log/cron

 

重啟生效

#systemctl restart rsyslog.service

 

SUSE11-SP4啟動:

/etc/init.d/syslog restart

 

2.5   檢查是否日志文件安全   rwx  rx rx

確保如下日志文件的權限為755,其他用戶不可修改

/var/log/messages      rwx rwx rx

確保如下日志文件的權限為775,其他用戶不可修改

 

/var/log/secure   

/var/log/spooler

/var/log/maillog

/var/log/mail

/var/log/boot.log

/var/log/cron

 

2.6   檢查是否配置用戶所需最小權限

檢查如下文件的權限是否設置正確:

/etc/passwd    -   644

/etc/shadow    -   600

/etc/group     -    644

 

2.7   檢查是否修改系統Banner

隱藏系統banner信息

#mv /etc/issue /etc/issue.bak

#mv /etc/issue.net /etc/issue.net.bak

 

2.8    

vi /etc/vsftpd.conf (或者/etc/vsftpd/vsftpd.conf)

修改ftpd_banner=”Authorized users only. All activity will be monitored and reported.”

重啟:/ec/init.d/vsftpd restart(或者systemctl restart vsftpd.service)

 

3.安全審計

3.1   檢查是否啟用syslog日志審計

#vi /etc/rsyslog.conf   確保開啟如下設置,

authpriv.*   /var/log/secure

沒有文件則添加

touch /var/log/secure

chmod 775 /var/log/secure

如果更改了配置文件,需要重啟生效

#systemctl restart rsyslog.service

4.入侵防范

4.1   檢查是否關閉不必要的服務和端口

關閉服務的方法如下:

# systemctl stop service

#systemctl disable service

檢查如下服務是否關閉:

檢查方法:systemctl status service

daytime

time

echo

discard

chargen

sendmail

ntalk

ident

printer

bootps

tftp

kshell

klogin

lpd

nfs

nfs.lock

ypbind

ftp

5.資源控制

5.1   禁用telnet協議

#vi /etc/services  注釋掉如下行

    #telnet             23/tcp       # Telnet  [Jon_Postel] [RFC854]

   #telnet             23/udp       # Telnet  [Jon_Postel] [RFC854]

重啟服務:service xinetd restart

 

 

SUSE11-SP4:

區別:systemctl命令沒有


免責聲明!

本站轉載的文章為個人學習借鑒使用,本站對版權不負任何法律責任。如果侵犯了您的隱私權益,請聯系本站郵箱yoyou2525@163.com刪除。



猜您在找 linux系統加固 linux系統加固方案 SUSE 15.1 系統安裝 等保測評應用系統加固 suse系統linux基本命令操作 遠程連接SuSE系統的配置方法 linux系統安全加固--賬號相關 centos7 系統安全加固方案 SUSE Linux Enterprise 15 SP1 系統安裝 suse系統更換源及常用命令
 
粵ICP備18138465號   © 2018-2025 CODEPRJ.COM