Centos安全加固文档

1#检查FTP配置-限制用户FTP登录1.1判断条件：rootdaemonbinsysadmlpuucpnuucplistennobodynoaccessnobody4，以上用户不能通过FTP登录，则符合安全要求；vi/etc/vsftpd/ftpusers增加以下用户sysnuucplistennoaccessnobody4修改文件vi/etc/vsftpd/vsftpd.conf找到userlist_enable=YES确保此选项被激活后userlist_deny=YES1.2参考配置操作：加固方案来源于配置规范，仅供参考，实际加固方法由系统集成商、设备原厂和管理员共同确定。1、修改ftpusers文件，增加不能通过ftp登录的用户首先需确定ftpusers文件位置，可以通过以下命令知道：#cat/etc/pam.d/vsftpdauthrequiredpam_listfile.soitem=usersense=denyfile=/etc/vsftpd.ftpusersonerr=succeed其中file=/etc/vsftpd.ftpusers即为当前系统上的ftpusers文件。修改文件（假设文件为/etc/ftpusers）：#vi/etc/ftpusers在文件中增加以下用户，则该用户均不允许通过ftp登录：rootdaemonbinsysadmlpuucpnuucplistennobodynoaccessnobody42、配置vsftpd.conf文件，设定只允许特定用户通过ftp登录：vsftpd.conf文件路径一般为/etc/vsftpd.conf或者/etc/vsftpd/vsftpd.conf。修改其中内容：userlist_enable=YES此选项被激活后，VSFTPD将读取userlist_file参数所指定的文件中的用户列表。userlist_deny=NO决定禁止还是只允许由userlist_file指定文件中的用户登录FTP服务器。YES，默认值，禁止文件中的用户登录，同时也不向这些用户发出输入口令的提示。NO，只允许在文件中的用户登录FTP服务器。userlist_file=/etc/vsftpd.user_list补充操作说明：/etc/ftpusers文件中存在如下不允许FTP登录的用户账号：rootdaemonbinsysadmlpuucpnuucplistennobodynoaccessnobody41.3检查脚本：[root@smdw~]#bash[root@smdw~]##!/bin/bash[root@smdw~]#FTPSTATUS=`ps-ef|grep-iftp|grep-vgrep|wc-l`;[root@smdw~]#functionCheck_vsftpconf{if[-f/etc/vsftpd.conf];thenFTPCONF=/etc/vsftpd.conf;elif[-f/etc/vsftpd/vsftpd.conf];thenFTPCONF=/etc/vsftpd/vsftpd.conf;elseecho/etc/vsftpd.confor/etc/vsftpd/vsftpd.confisnotexist,scriptsexitnow;return0;fi;if[`id-u`!=0]&&[-f/usr/bin/sudo];thenecho-------$FTPCONF--------;sudocat$FTPCONF|grep-v^#;FTPUSER=`sudocat$FTPCONF|grep-v^#|grepuserlist_file|cut-d=-f2`;echo-------$FTPUSER--------;sudocat${FTPUSER:=/etc/vsftpd.user_list}|grep-v^#;userlist_enable=`sudogrep-v^#$FTPCONF|grep-iuserlist_enable=YES|wc-l`;userlist_deny=`sudogrep-v^#$FTPCONF|grep-iuserlist_deny=NO|wc-l`;if[$userlist_enable=1-a$userlist_deny=1]thenif[`sudogrep-v^#$FTPUSER|egrep$name_list|wc-l`=0];thenechoFTPisrunning.FTPcheckresult:true.;elseechoFTPisrunning.FTPcheckresult:false.;fi;elseechoFTPisrunning.FTPcheckresult:false.;fielseecho-------$FTPCONF--------;cat$FTPCONF|grep-v^#;FTPUSER=`cat$FTPCONF|grep-v^#|grepuserlist_file|cut-d=-f2`;echo-------$FTPUSER--------;cat${FTPUSER:=/etc/vsftpd.user_list}|grep-v^#;userlist_enable=`grep-v^#$FTPCONF|grep-iuserlist_enable=YES|wc-l`;userlist_deny=`grep-v^#$FTPCONF|grep-iuserlist_deny=NO|wc-l`;if[$userlist_enable=1-a$userlist_deny=1]&&[$FTPUSER!=];thenif[`grep-v^#$FTPUSER|egrep^root$|^daemon$|^bin$|^sys$|^adm$|^lp$|^uucp$|^nuucp$|^listen$|^nobody$|^noaccess$|^nobody4$|wc-l`=0];thenechoFTPisrunning.FTPuserconfig$ftpusers_pamisnotrecommended.FTPuserconfig$FTPUSERisrecommended.FTPcheckresult:tr2#检查FTP配置-限制FTP用户登录后能访问的目录2.1判断条件：/etc/vsftpd.conf配置包含chroot_local_user=YES；/etc/pure-ftpd/pure-ftpd.conf包含：ChrootEveryoneyesAllowUserFXPnoAllowAnonymousFXPno基准值：通用基准值2.2参考配置操作：加固方案来源于配置规范，仅供参考，实际加固方法由系统集成商、设备原厂和管理员共同确定。步骤1vsftp修改/etc/vsftpd.conf#vi/etc/vsftpd.conf确保以下行未被注释掉，如果没有该行，请添加：chroot_local_user=YES重启网络服务#rcxinetdrestart步骤2pure-ftp修改/etc/pure-ftpd/pure-ftpd.conf#vi/etc/pure-ftpd/pure-ftpd.conf确保以下行未被注释掉（并且值为以下值），如果没有该行，请添加：ChrootEveryoneyesAllowUserFXPnoAllowAnonymousFXPno重启ftp服务#/etc/init.d/pure-ftpdrestart补充操作说明：etc/vsftpd.conf文件中存在chroot_local_user=YES并且/etc/pure-ftpd/pure-ftpd.conf中存在ChrootEveryoneyes、AllowUserFXPno、AllowAnonymousFXPno；或者FTP服务未开启，以上任一条件满足即可2.3检查条件[root@localhost~]#bash[root@localhost~]##!/bin/bash[root@localhost~]#FTPSTATUS=`netstat-antp|grep-ilisten|grep:21\|wc-l`[root@localhost~]#functionCheck_vsftpd{if[-f/etc/vsftpd.conf];thenFTPCONF=/etc/vsftpd.conf;elif[-f/etc/vsftpd/vsftpd.conf];thenFTPCONF=/etc/vsftpd/vsftpd.conf;fi;if[`id-u`!=0]&&[-f/usr/bin/sudo];thensudocat$FTPCONF|egrep-v^#|^$if[`grep-v^#$FTPCONF|grep-ichroot_local_user=YES|wc-l`-eq1];thenechovsftpdisrunning.$FTPCONFisrecommended.FTPcheckresult:true.;elseechovsftpdisrunning.$FTPCONFisnotrecommended.FTPcheckresult:false.;fielsecat$FTPCONF|egrep-v^#|^$if[`grep-v^#$FTPCONF|grep-ichroot_local_user=YES|wc-l`-eq1];thenechovsftpdisrunning.$FTPCONFisrecommended.FTPcheckresult:true.;elseechovsftpdisrunning.$FTPCONFisnotrecommended.FTPcheckresult:false.;fifi;unsetFTPCONF;}[root@localhost~]#functionCheck_pureftpd{if[`id-u`!=0]&&[-f/usr/bin/sudo];thensudocat/etc/pure-ftpd/pure-ftpd.conf|egrep-v^#|^$ChrootEveryone=`sudocat/etc/pure-ftpd/pure-ftpd.conf|grep-v^#|grep-iChrootEveryone|grep-iyes|wc-l`;AllowUserFXP=`sudocat/etc/pure-ftpd/pure-ftpd.conf|grep-v^#|grep-iAllowUserFXP|grep-ino|wc-l`;AllowAnonymousFXP=`cat/etc/pure-ftpd/pure-ftpd.conf|grep-v^#|grep-iAllowAnonymousFXP|grep-ino|wc-l`;elsecat/etc/pure-ftpd/pure-ftpd.conf|egrep-v^#|^$ChrootEveryone=`cat/etc/pure-ftpd/pure-ftpd.conf|grep-v^#|grep-iChrootEveryone|grep-iyes|wc-l`;AllowUserFXP=`cat/etc/pure-ftpd/pure-ftpd.conf|grep-v^#|grep-iAllowUserFXP|grep-ino|wc-l`;AllowAnonymousFXP=`cat/etc/pure-ftpd/pure-ftpd.conf|grep-v^#|grep-iAllowAnonymousFXP|grep-ino|wc-l`;fiPUREFTPD_NO=$(expr$ChrootEveryone+$AllowUserFXP+$A3#检查登录提示-更改ftp警告Banner3.1判断条件：/etc/vsftpd.co