Redhat-Linux安全加固

-1-RedhatLinux安全加固■文档编号■密级■版本编号■日期-2-目录一.系统信息...........................................................................................................................................3二.账号...................................................................................................................................................3三.服务...................................................................................................................................................6四.文件系统...........................................................................................................................................8五.日志...................................................................................................................................................9-3-一.系统信息查看内核信息uname-a查看所有软件包rpm-qa查看主机名hostname查看网络配置ifconfig-a查看路由表netstat-rn查看开放端口netstat-an查看当前进程ps-aux二.账号2.1禁用无用账号操作目的减少系统无用账号，降低风险检查方法使用命令“cat/etc/passwd”查看口令文件，与系统管理员确认不必要的账号FTP等服务的账号，如果不需要登录系统，shell应该/sbin/nologin加固方法使用命令“passwd-l用户名”锁定不必要的账号使用命令“passwd-u用户名”解锁不必要的账号是否实施备注需要与管理员确认此项操作不会影响到业务系统的登录2.2检查特殊账号操作目的查看空口令和root权限的账号检查方法使用命令“awk-F:'($2==)'/etc/shadow”查看空口令账号使用命令“awk-F:'($3==0)'/etc/passwd”查看UID为零的账号-4-加固方法使用命令“passwd用户名”为空口令账号设定密码UID为零的账号应该只有root是否实施备注2.3添加口令策略操作目的加强口令的复杂度等，降低被猜解的可能性检查方法使用命令“cat/etc/login.defs|grepPASS”和“cat/etc/pam.d/system-auth”查看密码策略设置加固方法1，使用命令“vi/etc/login.defs”修改配置文件PASS_MAX_DAYS90#新建用户的密码最长使用天数PASS_MIN_DAYS0#新建用户的密码最短使用天数PASS_WARN_AGE7#新建用户的密码到期提前提醒天数使用chage命令修改用户设置，例如：chage-m0-M30-E2000-01-01-W7用户名表示：将此用户的密码最长使用天数设为30，最短使用天数设为0，密码2000年1月1日过期，过期前7天里警告用户2，设置连续输错3次密码，账号锁定5分钟，使用命令“vi/etc/pam.d/system-auth”修改配置文件，添加authrequiredpam_tally.soonerr=faildeny=3unlock_time=300注：解锁用户faillog-u用户名-r是否实施备注锁定用户功能谨慎使用，密码策略对root不生效2.4检查Grub/Lilo密码操作目的查看系统引导管理器是否设置密码检查方法使用命令“cat/etc/grub.conf|greppassword”查看grub是否设置密码使用命令“cat/etc/lilo.conf|greppassword”查看lilo是否设置密码加固方法为grub或lilo设置密码-5-是否实施备注2.5限制FTP登录操作目的禁止不必要的用户登录FTP服务，降低风险检查方法使用命令“cat/etc/ftpusers”查看配置文件，确认是否包含用户名，这些用户名不允许登录FTP服务加固方法使用命令“vi/etc/ftpusers”修改配置文件，添加行，每行包含一个用户名，禁止此用户登录FTP服务是否实施备注2.6限制用户su操作目的限制能su到root的用户检查方法使用命令“cat/etc/pam.d/su|greppam_wheel.so”查看配置文件，确认是否有相关限制加固方法需要在test组里加入允许su到root的用户使用命令“vi/etc/pam.d/su”修改配置文件，添加行例如：只允许test组用户su到rootauthrequiredpam_wheel.sogroup=test是否实施备注-6-三.服务3.1关闭不必要的服务操作目的关闭不必要的服务（普通服务和xinetd服务），降低风险检查方法使用命令“who-r”查看当前init级别使用命令“chkconfig--list服务名”查看所有服务的状态加固方法使用命令“chkconfig--levelinit级别服务名on|off|reset”设置服务在个init级别下开机是否启动是否实施备注新版本的Linux中，xinetd已经将inetd取代3.2检查SSH服务操作目的对SSH服务进行安全检查检查方法使用命令“cat/etc/ssh/sshd_config”查看配置文件（1）检查是否允许root直接登录检查“PermitRootLogin”的值是否为no（2）检查SSH使用的协议版本检查“Protocol”的值（3）检查允许密码错误次数（默认6次），超过后断开连接检查“MaxAuthTries”的值加固方法使用命令“vi/etc/ssh/sshd_config”编辑配置文件（1）不允许root直接登录设置“PermitRootLogin”的值为no（2）修改SSH使用的协议版本设置“Protocol”的版本为2（3）修改允许密码错误次数（默认6次）设置“MaxAuthTries”的值为3是否实施备注root用户需要使用普通用户远程登录后su进行系统管理-7-3.3检查.rhosts和/etc/hosts.equiv文件操作目的检查.rhosts和/etc/hosts.equiv文件配置错误将导致非授权的访问检查方法1）使用“find/-name.rhosts-print”查找.rhosts文件，若.rhosts文件中包含远程主机名，则代表允许该主机通过rlogin等方式登录本机；如果包含两个加号，代表任何主机都可以无需用户名口令登录本机（2）使用“cat/etc/hosts.equiv”查看配置文件，若包含远程主机名，则代表允许该主机远程登录本机加固方法使用命令“vi.rhosts”和“vi/etc/hosts.equiv”修改配置文件，正确进行授权是否实施备注3.4限制Ctrl+Alt+Del命令操作目的防止误使用Ctrl+Alt+Del重启系统检查方法使用命令“cat/etc/inittab|grepctrlaltdel”查看输入行是否被注释加固方法先使用命令“vi/etc/inittab”编辑配置文件，在行开头添加注释符号“#”#ca::ctrlaltdel:/sbin/shutdown-t3-rnow，再使用命令“initq”应用设置是否实施备注3.5查看NFS共享操作目的查看NFS共享检查方法使用命令“exportfs”查看NFS输出的共享目录加固方法使用命令“vi/etc/exports”编辑配置文件，删除不必要的共享是否实施备注-8-四.文件系统4.1设置UMASK值操作目的设置默认的UMASK值，增强安全性检查方法使用命令“umask”查看默认的UMASK值是否为027加固方法使用命令“vi/etc/profile”修改配置文件，添加行“UMASK027”，即新创建的文件属主读写执行权限，同组用户读和执行权限，其他用户无权限，使用命令“umask027”应用设置是否实施备注4.2Bash历史命令操作目的设置Bash保留历史命令的条数检查方法使用命令“cat/etc/profile|grepHISTSIZE=”和““cat/etc/profile|grepHISTFILESIZE=”查看保留历史命令的条数加固方法使用命令“vi/etc/profile”修改配置文件，修改HISTSIZE=5和HISTFILESIZE=5即保留最新执行的5条命令是否实施备注4.3设置登录超时操作目的设置系统登录后，连接超时时间，增强安全性检查方法使用命令“cat/etc/profile|grepTMOUT”查看TMOUT是否被设置加固方法使用命令“vi/etc/profile”修改配置文件，添加“TMOUT=”行开头的注释，设置为“TMOUT=180”，即超时时间为3分钟是否实施备注-9-五.日志5.1syslogd日志操作目的查看所有日志记录检查方法使用命令“cat/etc/syslog.conf”查看syslogd的配置系统日志（默认）/var/log/messagescron日志（默认）/var/log/cron安全日志（默认）/var/log/secure加固方法添加相关日志的记录是否实施备注