(一) Redhat linux7.2安全基線基本型(BI)
1. 密碼復雜度策略
/etc/pam.d/system-auth文件中,增加內容
password requisite pam_cracklib.so ucredit=-1 lcredit=-1 dcredit=-1
(字體行距自己調整注:ucredit:大寫字母個數;lcredit:小寫字母個數;dcredit:數字個數;ocredit:特殊字符個數 )
2. 密碼相關配置
vi /etc/login.defs (修改如下)
PASS_MIN_DAYS 0
PASS_MAX_DAYS 90
PASS_MIN_LEN 8
PASS_WARN_AGE 7(更改顯示錯誤)
3. 檢查用戶umask設置
檢查文件/etc/profile中umask設置 077
檢查文件/etc/csh.login中umask設置 077
檢查文件/etc/csh.cshrc中umask設置 077
檢查文件/etc/bashrc(或/etc/bash.bashrc)中umask設置 077 待改(我們默認022)
4. 檢查是否設置除root之外UID為0的用戶
cat /etc/passwd | awk 'BEGIN {FS=":";ORS=","} {if($1~/^[[:space:]]*[^#]/)if($1!="root")if($3=="0")print$1}'
5. 檢查是否存在空口令賬號
cat /etc/shadow | awk 'BEGIN{FS=":";ORS=","}{if($2=="")print$1};'|more
6. 檢查重要文件屬性設置
檢查/etc/gshadow文件屬性
檢查/etc/group文件屬性
檢查/etc/passwd文件屬性
檢查/etc/shadow文件屬性
chattr +i /etc/gshadow
lsattr /etc/gshadow
7. 檢查重要目錄或文件權限設置
/etc/xinetd.conf未安裝
chmod 600 /etc/security
chmod 644 /etc/services
chmod 750 /etc/rc1.d/
chmod 750 /etc/rc0.d
chmod 750 /etc/rc4.d
chmod 750 /etc/rc2.d
chmod 750 /etc/rc3.d
chmod 750 /etc/rc5.d
chmod 750 /etc/rc6.d
chmod 644 /etc/group
chmod 750 /etc/
chmod 750 /etc/rc.d/init.d
chmod 750 /tmp
chmod 644 /etc/passwd
chmod 400 /etc/shadow
8. 限制用戶使用SU命令切換root
編輯 su 文件(vi /etc/pam.d/su),在開頭添加下面兩行:
auth sufficient pam_rootok.so 和
auth required pam_wheel.so group=wheel
這表明只有 wheel 組的成員可以使用 su 命令成為 root 用戶
添加方法為:
usermod –G wheel username
9. 刪除潛在危險文件
刪除用戶 .netrc,.rhosts,.hosts.equiv 文件, 控制用戶對資源的訪問
l 執行命令find / -maxdepth 3 -name .netrc 2>/dev/null (沒有就跳過)
l 進入到.netrc文件存在的目錄
l 執行命令:mv .netrc .netrc.bak
10. 檢查歷史命令設置
編輯文件/etc/profile,
修改HISTSIZE配置為5
HISTSIZE=5
11. 檢查是否記錄用戶對設備的操作
通過設置日志文件可以對每個用戶的每一條命令進行記錄,這一功能默認是不開放的,為了打開它,需要安裝pacct工具,並執行以下命令:
#touch /var/log/pacct
#accton /var/log/pacct
執行讀取命令lastcomm [user name] -f /var/log/pacct
12. 檢查安全事件日志配置
編輯/etc/rsyslog.conf
配置:
*.err;kern.debug;daemon.notice /var/adm/messages
其中/var/adm/messages為日志文件。
如果該文件不存在,則創建該文件,命令為:
touch /var/adm/messages, 並修改權限為666.命令為:chmod 666 /var/adm/messages.
重啟日志服務:
# systemctl restart rsyslog.service
13. 檢查是否配置su命令使用情況記錄
編輯/etc/rsyslog.conf,
配置:
authpriv.* /var/log/secure
14. 檢查是否禁止root用戶遠程登錄
修改/etc/ssh/sshd_config文件,。
#vim /etc/ssh/sshd_config
配置PermitRootLogin no
15. 檢查是否設置命令行界面超時退出
#vi /etc/profile (增加如下)
#export TMOUT=600 (單位:秒)
16. 檢查 passwd 和 group 文件中是否有不合法的'+' 參數存在
檢查 passwd 和 group 文件中是否有不合法的'+' 參數存在
cat /etc/passwd | grep ‘*+*’
cat /etc/passwd | grep ‘*+*’
17. 設置用戶登錄訪問的安全提示信息
l 檢查方法
方法1、通過cat命令檢查/etc/motd和/etc/issue文件中的banner信息;
方法2、使用SSH遠程登錄的方式,檢查是否會出現warning的信息。
l 增加方法
編輯修改/etc/issue和/etc/motd文件,增加如下內容:
“Authorized users only. All activity may be monitored and reported”
l 修改/etc/issuse和/etc/motd的文件屬主和屬組:
chown root:sys /etc/motd
chown root:root /etc/issue