Linux 漏洞问题 1、检查登录提示-更改ftp警告Banner [root@localhost libin]# grep ftpd_banne /etc/vsftpd/vsftpd.conf ftpd_banner="Authorized users only. All activity may be monitored and reported." 重启服务: # /etc/init.d/xinetd restart 2、检查是否禁止匿名ftp [root@localhost libin]# grep anonymous_enable /etc/vsftpd/vsftpd.conf anonymous_enable=NO 3、检查FTP配置-设置FTP用户登录后对文件、目录的存取权限 [root@localhost libin]# grep write_enable=YES /etc/vsftpd/vsftpd.conf write_enable=YES [root@localhost libin]# grep ls_recurse_enable /etc/vsftpd/vsftpd.conf ls_recurse_enable=YES [root@localhost libin]# grep local_umask /etc/vsftpd/vsftpd.conf local_umask=022 [root@localhost libin]# grep anon_umask /etc/vsftpd/vsftpd.conf anon_umask=022 重启网络服务 # rcxinetd restart 重启vsftp服务 4、检查口令策略设置是否符合复杂度要求 [root@localhost libin]# ll /etc/pam.d/system-auth_bak && ll /etc/pam.d/passwd_bak -rw-r--r-- 1 root root 1387 1月 25 2022 /etc/pam.d/system-auth_bak -rw-r--r-- 1 root root 454 1月 25 2022 /etc/pam.d/passwd_bak [root@localhost libin]# grep pam_cracklib /etc/pam.d/system-auth password requisite pam_cracklib.so try_first_pass retry=3 type= dcredit=-1 ucredit=-1 lcredit=-1 ocredit=-1 minclass=2 minlen=6 password requisite pam_cracklib.so dcredit=-1 ucredit=-1 lcredit=-1 ocredit=-1 minclass=2 minlen=8 [root@localhost libin]# grep pam_cracklib /etc/pam.d/passwd password requisite pam_cracklib.so minlen=8 ucredit=-1 lcredit=-1 dcredit=-1 ocredit=-1 password requisite pam_cracklib.so minlen=8 ucredit=-1 lcredit=-1 dcredit=-1 ocredit=-1 tretry=N:重试多少次后返回密码修改错误 difok=N:新密码必需与旧密码不同的位数 dcredit=N:N >= 0密码中最多有多少个数字;N < 0密码中最少有多少个数字 lcredit=N:小写字母的个数 ucredit=N:大写字母的个数 credit=N:特殊字母的个数 minclass=N:密码组成(大/小字母,数字,特殊字符) minlen=N:新密码最短长度 pam_passwdqc主要参数说明: mix:设置口令字最小长度,默认值是mix=disabled。 max:设置口令字的最大长度,默认值是max=40。 passphrase:设置口令短语中单词的最少个数,默认值是passphrase=3,如果为0则禁用口令短语。 match:设置密码串的常见程序,默认值是match=4。 similar:设置当我们重设口令时,重新设置的新口令能否与旧口令相似,它可以是similar=permit允许相似或similar=deny不允许相似。 random:设置随机生成口令字的默认长度。默认值是random=42。设为0则禁止该功能。 enforce:设置约束范围,enforce=none表示只警告弱口令字,但不禁止它们使用;enforce=users将对系统上的全体非根用户实行这一限制;enforce=everyone将对包括根用户在内的全体用户实行这一限制。 non-unix:它告诉这个模块不要使用传统的getpwnam函数调用获得用户信息。 retry:设置用户输入口令字时允许重试的次数,默认值是retry=3 如配置密码长度最小6位,至少包含大小写字母、数字。
标签:整改,etc,漏洞,vsftpd,Linux,libin,root,pam,localhost From: https://www.cnblogs.com/libin-linux/p/16618770.html