1 檢查是否配置登陸超時時間設置
編輯vi /etc/profile文件,配置TMOUT將值設置為低於300. TMOUT=300
2 檢查是否禁止root用戶登錄FTP
設置如下將對應配置文件中,設置root,禁止登錄的用戶列表中添加root用戶
1.編輯vi /etc/ftpaccess,將root前的#去掉 2.編輯vi /etc/vsftpd/ftpusers,將root前的#去掉 3.編輯vi /etc/ftpusers,將root前的#去掉 4.編輯vi /etc/vsftpd.ftpusers,將root前的#去掉 5.編輯v i /etc/pam.d/vsftpd,將root前的#去掉 6.編輯vi /etc/pam.d/ftp,將root前的#去掉
3 檢查是否使用SSH協議進行遠程維護
開啟ssh,關閉telnet 1.關閉telnet服務[僅供參考,不通的系統會有差別] a)vi /etc/xinetd.d/telnet,將disable=no改成disable=yes; b)chkconfig telnet off;如果需要設置telnet服務不為開機自啟動,使用命令chkconfig -del telnet或者chkconfig --del telnet 2.使用命令server xinetd restart或者/etc/init.d/xinetd restart使更改生效。
4 檢查是否配置日志文件安全權限
1.對日志文件進行賦權:chmod 640 /var/log/messages,權限要小於等於640 2.對日志文件進行賦權:chmod 640 /var/log/secure,權限要小於等於640 3.對日志文件進行賦權:chmod 640 /var/log/maillog,權限要小於等於640 4.對日志文件進行賦權:chmod 640 /var/log/cron,權限要小於等於640 5.對日志文件進行賦權:chmod 640 /var/log/spooler,權限要小於等於640 6.對日志文件進行賦權:chmod 640 /var/log/boot.log,權限要小於等於640
5 檢查是否啟用Syslog日志審計
系統可能是syslog或rsyslog,配置存在其中一個即可。 1.vi /etc/syslog.conf,修改或配置authpriv.* /var/log/secure 2.vi /etc/rsyslog.conf,修改或配置authpriv.* /var/log/secure
6 檢查是否啟用遠程日志功能
系統可能是syslog或rsyslog,配置存在其中一個即可。 1.配置文件添加:vi /etc/syslog.conf,加上*.* @10.254.90.58 //注意空白處為tab鍵 2.配置文件添加:vi /etc/rsyslog.conf,加上*.* @10.254.90.58 //注意空白處為tab鍵
7 檢查是否記錄cron行為日志
系統可能是syslog或rsyslog,配置存在其中一個即可。 1.vi /etc/syslog.conf,修改或配置cron.* /var/log/cron 2.vi /etc/rsyslog.conf,修改或配置cron.* /var/log/cron
8 檢查是否配置文件與目錄缺省權限控制
配置的值可以為:027|037|077|127|137|177|327|337|377|777|067|167|367|767 1.vi /etc/login.defs,修改或配置umask 027 2.vi /etc/profile,修改或配置umask 027
9 檢測是否限制 root 用戶遠程登錄
修改配置:vi /etc/ssh/sshd_config,修改或配置PermitRootLogin no
10 檢查是否限制用戶su到root
1.添加配置:vi /etc/pam.d/su,修改或配置auth sufficient pam_rootok.so 2.添加配置:vi /etc/pam.d/su,修改或配置auth required pam_wheel.so group=wheel
11 檢查是否配置用戶最小授權
1.chmod 644 /etc/passwd 設置文件權限低於等於644 2.chmod 644 /etc/group設置文件權限低於等於644 3.chmod 600 /etc/shadow設置文件權限低於等於600
12 檢查是否關閉不必要的服務和端口
1.通過chkconfig --list daytime查看對應的服務是否開啟,通過chkconfig daytime off 關閉。 同理關閉如下服務: 2.daytime-udp 3.time 4.time-udp 5.echo 6.echo-udp 7.discard, 8.discard-udp 9.chargen 10.chargen-udp, 11.ntalk 12.ident 13.printer 14.bootps 15.tftp 16.kshell 17.klogin 18.lpd 19.nfs 20.nfs.lock 21.sendmail 22.ypbind
13 檢查是否刪除或鎖定無關賬號
配置listen,gdm,webservd,nobody,nobody4,noaccess賬號的狀態,通過命令如下: 1.chsh listen -s /sbin/nologin 2.chsh gdm -s /sbin/nologin 3.chsh webservd -s /sbin/nologin 4.chsh nobody -s /sbin/nologin 5.chsh nobody4 -s /sbin/nologin 6.chsh noaccess -s /sbin/nologin
14 檢查用戶 FTP 訪問安全是否配置
如果有開啟vsftpd則需要配置如下兩個文件,內容添加root 1.vi /etc/vsftpd.chroot_list配置root 2.vi /etc/vsftpd/chroot_list配置root
15 檢測是否刪除潛在危險文件
1.全局搜索是否存在:.rhosts文件,如果存在則刪除掉。 2.全局搜索是否存在:.netrc文件,如果存在則刪除掉。 3.全局搜索是否存在:.hosts.equiv文件,如果存在則刪除掉。
16 檢查密碼過期時間
編輯:vi /etc/login.defs設置PASS_MAX_DAYS=90,時間要小於等於90
17 檢查密碼創建要求是否配置
1.vi /etc/pam.d/common-password,修改或配置password requisite pam_cracklib.so retry=3 minlen=8 lcredit=-1 ocredit=-1 ucredit=-1 dcredit=-1 use_authtok 匹配正則如下: ^password\\s+requisite\\s+pam_cracklib\\.so\\s+.*retry=\\d\\s+.*((minlen=([8-9]|[1-9]\\d)+\\s+.*minclass=[3-4])|(minclass=[3-4]\\s+.*minlen=([8-9]|[1-9]\\d+))) 2.vi /etc/pam.d/system-auth,password requisite pam_cracklib.so try_first_pass retry=3 minlen=8 minclass=3 匹配正則如下: ^(\\s*|\\t*)password\\s+requisite\\s+pam_cracklib\\.so\\s+.*retry=\\d\\s+.*((minlen=([8-9]|[1-9]\\d)+\\s+.*minclass=[3-4])|(minclass=[3-4]\\s+.*minlen=([8-9]|[1-9]\\d+))) 3.vi /etc/login.defs,修改或配置PASS_MIN_LEN 8,設置為大於等於8 4.vi /etc/pam.d/system-auth,修改或配置pam_passwdqc.so
18 檢查是否禁止匿名FTP
1.vi /etc/vsftpd.conf,配置修改anonymous_enable=NO 2.vi /etc/vsftpd/vsftd.conf,配置修改anonymous_enable=NO
19.用戶密碼強度 16位
20.禁止普通用戶 su 到root 完成
echo 'auth required pam_wheel.so use_uid' >> /etc/pam.d/su
21.設置用戶登錄錯誤次數
sed -i '/%PAM-1.0/a\auth required pam_tally2.so deny=3 unlock_time=150 even_deny_root root_unlock_time300' /etc/pam.d/sshd #am_succeed_if模塊為某些用戶提供例外 #http://www.voidcn.com/article/p-rubmrbyd-bua.html /sbin/pam_tally2 -u <username> --reset=0 手動解鎖 注意事項 centos7上需要將:/etc/hosts.deny文件中對應的失敗IP地址刪除
22.鎖定重要文件 完成
chattr +i /etc/passwd /etc/shadow /etc/group /etc/gshadow chattr -i /etc/passwd /etc/shadow /etc/group /etc/gshadow 5.設置禁止密碼登錄,只允許使用key登錄 完成 sed -i 's/^PasswordAuthentication yes/PasswordAuthentication no/g' /etc/ssh/sshd_config"
23.刪除系統信息 完成
rm -f /etc/issue /etc/issue.net /etc/redhat-release /etc/motd /etc/centos-release /etc/system-release