linux系统安全加固手册

系统安全加固手册1帐户安全配置要求1.1创建/etc/shadow影子口令文件配置项名称设置影子口令模式检查方法执行：#more/etc/shadow查看是否存在该文件操作步骤1、执行备份：#cp–p/etc/passwd/etc/passwd_bak2、切换到影子口令模式：#pwconv回退操作执行：#pwunconv#cp/etc/passwd_bak/etc/passwd风险说明系统默认使用标准口令模式，切换不成功可能导致整个用户管理失效1.2建立多帐户组，将用户账号分配到相应的帐户组配置项名称建立多帐户组，将用户账号分配到相应的帐户组检查方法1、执行：#more/etc/group#more/etc/shadow查看每个组中的用户或每个用户属于那个组2、确认需要修改用户组的用户操作步骤1、执行备份：#cp–p/etc/group/etc/group_bak2、修改用户所属组：#usermod–ggroupusername回退操作执行：#cp/etc/group_bak/etc/group风险说明修改用户所属组可能导致某些应用无法正常运行1.3删除或锁定可能无用的帐户配置项名称删除或锁定可能无用的帐户检查方法1、执行：#more/etc/passwd查看是否存在以下可能无用的帐户：hpsmh、named、uucp、nuucp、adm、daemon、bin、lp2、与管理员确认需要锁定的帐户操作步骤1、执行备份：#cp–p/etc/passwd/etc/passwd_bak2、锁定无用帐户：#passwd-lusername回退操作执行：#cp/etc/passwd_bak/etc/passwd风险说明锁定某些用户可能导致某些应用无法正常运行1.4删除可能无用的用户组配置项名称删除可能无用的用户组检查方法1、执行：#more/etc/group查看是否存在以下可能无用的用户组：lpnuucpnogroup2、与管理员确认需要删除的用户组操作步骤1、执行备份：#cp–p/etc/group/etc/group_bak2、删除无用的用户组：#groupdelgroupname回退操作执行：#cp/etc/group_bak/etc/group风险说明删除某些组可能导致某些应用无法正常运行1.5检查是否存在空密码的帐户配置项名称检查是否存在空密码的帐户检查方法执行下列命令，检查是否存在空密码的帐户logins–p应无回结果操作步骤1、执行备份：#cp–p/etc/passwd/etc/passwd_bak#cp-p/etc/shadow/etc/shadow_bak2、锁定空密码帐户或使用passwd命令设置复杂密码#passwd–lusername回退操作执行：#cp–p/etc/passwd_bak/etc/passwd#cp-p/etc/shadow_bak/etc/shadow风险说明锁定某些帐户可能导致某些应用无法正常运行1.6设置口令策略满足复杂度要求配置项名称设置口令策略满足复杂度要求检查方法1、执行下列命令，检查是否存在空密码的帐户#logins–p应无返回结果2、执行：#more/etc/default/security检查是否满足以下各项复杂度参数：MIN_PASSWORD_LENGTH=6PASSWORD_MIN_UPPER_CASE_CHARS=1PASSWORD_MIN_LOWER_CASE_CHARS=1PASSWORD_MIN_DIGIT_CHARS=1PASSWORD_MIN_SPECIAL_CHARS=1操作步骤1、执行备份：#cp–p/etc/default/security/etc/default/security_bak#cp–p/etc/passwd/etc/passwd_bak2、执行下列命令，编辑/etc/default/security#vi/etc/default/security修改以下各项复杂度参数：MIN_PASSWORD_LENGTH=6PASSWORD_MIN_UPPER_CASE_CHARS=1PASSWORD_MIN_LOWER_CASE_CHARS=1PASSWORD_MIN_DIGIT_CHARS=1PASSWORD_MIN_SPECIAL_CHARS=1回退操作执行：#cp/etc/default/security_bak/etc/default/security#cp/etc/passwd_bak/etc/passwd风险说明可能导致非root用户修改自己的密码时多次不成功1.7设置帐户口令生存周期配置项名称设置帐户口令生存周期检查方法执行：#more/etc/default/security查看是否存在以下各项参数：PASSWORD_MAXDAYS=90PASSWORD_WARNDAYS=28操作步骤1、执行备份：#cp–p/etc/default/security/etc/default/security_bak#cp–p/etc/passwd/etc/passwd_bak2、执行下列命令，编辑/etc/default/security#vi/etc/default/security修改以下各项参数：PASSWORD_MAXDAYS=90PASSWORD_WARNDAYS=28回退操作执行：#cp/etc/default/security_bak/etc/default/security#cp/etc/passwd_bak/etc/passwd风险说明可能在密码过期后影响正常使用及维护1.8设定密码历史，不能重复使用最近5次（含5次）内已使用的口令配置项名称应配置设备，使用户不能重复使用最近5次（含5次）内已使用的口令检查方法执行：#more/etc/default/security查看是否存在以下参数：PASSWORD_HISTORY_DEPTH=5操作步骤1、执行备份：#cp–p/etc/default/security/etc/default/security_bak#cp–p/etc/passwd/etc/passwd_bak2、执行下列命令，编辑/etc/default/security#vi/etc/default/security修改以下参数：PASSWORD_HISTORY_DEPTH=5回退操作执行：#cp/etc/default/security_bak/etc/default/security#cp/etc/passwd_bak/etc/passwd风险说明低风险1.9限制root用户远程登录配置项名称root用户远程登录限制检查方法执行：#more/etc/securetty检查是否有下列行：Console执行：#more/opt/ssh/etc/sshd_config检查是否有PermitRootLoginno操作步骤1、执行备份：#cp–p/etc/securetty/etc/securetty_bak#cp-p/opt/ssh/etc/sshd_config/opt/ssh/etc/sshd_config_bak2、新建一个普通用户并设置高强度密码：#useraddusername#passwdusername3、禁止root用户远程登录系统：#vi/etc/securetty去掉console前面的注释，保存退出#vi/opt/ssh/etc/sshd_config将PermitRootLogin后的yes改为no回退操作执行：#cp/etc/securetty_bak/etc/securetty#cp-p/opt/ssh/etc/sshd_config_bak/opt/ssh/etc/sshd_config风险说明严重改变维护人员操作习惯，必须新建一个能够执行交互式登录的普通用户并能够通过su提升权限，可能带来新的威胁1.10检查passwd、group文件权限设置配置项名称检查passwd、group文件权限设置检查方法执行：#ls–l/etc/passwd/etc/group操作步骤1、执行备份：#cp–p/etc/passwd/etc/passwd_bak#cp–p/etc/group/etc/group_bak2、修改文件权限：#chmod644/etc/passwd#chmod644/etc/group回退执行：#cp/etc/passwd_bak/etc/passwd#cp/etc/group_bak/etc/group风险说明权限设置不当可能导致无法执行用户管理，并可能造成某些应用运行异常1.11系统umask设置配置项名称系统umask设置检查方法执行：#more/etc/profile检查系统umask值操作步骤1、执行备份：#cp-p/etc/profile/etc/profile_bak2、修改umask设置：#vi/etc/profile将umask值修改为027，保存退出回退操作执行：#cp/etc/profile_bak/etc/profile风险说明umask设置不当可能导致某些应用无法正确自动创建目录或文件，从而运行异常2访问、认证安全配置要求2.1远程登录取消telnet采用ssh配置项名称远程登录取消telnet采用ssh检查方法查看SSH、telnet服务状态：#ps–elf|grepssh#ps–elf|greptelnetSSH服务状态查看结果为：onlinetelnet服务状态查看结果为：disabled操作步骤1、备份#cp–p/etc/inetd.conf/etc/inetd.conf_bak2、修改/etc/inetd.conf文件，将telnet行注释掉#telnetstreamtcpnowaitroot/usr/lbin/telnetdtelnetd3、重启服务#inetd-c4、安装ssh软件包，通过#/opt/ssh/sbin/sshdstart来启动SSH。回退操作执行：#cp–p/etc/inetd.conf_bak/etc/inetd.conf启动telnet#/usr/lbin/telnetdstart停止SSH#/opt/ssh/sbin/sshdstop风险说明影响维护人员操作习惯，需要重启服务2.2限制系统帐户FTP登录配置项名称限制root、daemon、bin、sys、adm、lp、uucp、nuucp、nobody、hpdb、useradm等系统帐户FTP登录检查方法执行：#cat/etc/ftpd/ftpusers查看具体的禁止FTP登陆系统的用户名单操作步骤1、执行备份：#cp-p/etc/ftpd/ftpusers/etc/ftpd/ftpusers_bak2、禁止用户FTP登录系统：#vi/etc/ftpd/ftpusers每一个帐户一行，添加以下帐户禁止FTP登录root、daemon、bin、sys、adm、lp、uucp、nuucp、nobody、hpdb、useradm回退操作执行：#cp/etc/ftpd/ftpusers_bak/etc/ftpd/ftpusers风险说明禁止某些帐户登录FTP可能导致某些应用无法正常运行2.3配置允许访问inetd服务的IP范围或主机名配置项名称配置允许访问inetd服务的IP范围或主机名检查方法执行：#cat/var/adm/inetd.sec查看有无类似logindeny192.54.24.5cory.berkeley.edutestlan配置操作步骤1、执行备份：#cp-p/var/adm/inetd.sec/var/adm/inetd.sec_bak2、添加允许访问inetd服务的IP范围或主机名：#vi/var/adm/inetd.sec按照如下格式添加IP范围或主机名servicename{allow|deny}{hostaddrs|hostnames|netaddrs|netnames}回退操作执行：#cp/var/adm/inetd.sec_bak/var/