检查是否配置登录超时时间设置
编辑 vi /etc/profile 文件。配置tmout将值设置为低于300
检查是否禁止root用户登录FTP
设置如下将对应配置文件中,设置root,禁止登录的用户列表中添加root用户
编辑 vi /etc/ftpaccess,将root前的#去掉
编辑 vi /etc/vsftpd/ftpusers,将 root 前的#去掉
编辑 vi /etc/ftpusers,将 root 前的#去掉
编辑 vi /etc/vsftpd.ftpusers,将 root 前的#去掉
编辑 v i /etc/pam.d/vsftpd,将 root 前的#去掉
编辑 vi /etc/pam.d/ftp,将 root 前的#去掉
检查是否使用SSH协议进行远程维护
开启 ssh,关闭 telnet
关闭 telnet
vi /etc/xinetd.d/telnet,将 disable=no 改成 disable=yes
chkconfig telnet off;如果需要设置 telnet 服务不为开机自启动,使用命令 chkconfig -del telnet 或者 chkconfig --del telnet
使用命令 server xinetd restart 或者/etc/init.d/xinetd restart 使更改生效
检查是否配置日志文件安全权限
对日志文件进行赋权:chmod 640 /var/log/messages,权限要小于等于 640
对日志文件进行赋权:chmod 640 /var/log/secure,权限要小于等于 640
对日志文件进行赋权:chmod 640 /var/log/maillog,权限要小于等于 640
对日志文件进行赋权:chmod 640 /var/log/cron,权限要小于等于 640
对日志文件进行赋权:chmod 640 /var/log/spooler,权限要小于等于 640
对日志文件进行赋权:chmod 640 /var/log/boot.log,权限要小于等于 640
检查是否启用 Syslog 日志审计
系统可能是 syslog 或 rsyslog,配置存在其中一个即可
vi /etc/syslog.conf,修改或配置 authpriv.* /var/log/secure
vi /etc/rsyslog.conf,修改或配置 authpriv.* /var/log/secure
检查是否启用远程日志功能
系统可能是 syslog 或 rsyslog,配置存在其中一个即可
配置文件添加:vi /etc/syslog.conf,加上*.*
配置文件添加:vi /etc/rsyslog.conf,加上*.*
检查是否记录 cron 行为日志
系统可能是 syslog 或 rsyslog,配置存在其中一个即可
vi /etc/syslog.conf,修改或配置 cron.*
vi /etc/rsyslog.conf,修改或配置 cron.*
检查是否配置文件与目录缺省权限控制
配置的值可以为:027|037|077|127|137|177|327|337|377|777|067|167|367|767
vi /etc/login.defs,修改或配置 umask 027
vi /etc/profile,修改或配置 umask 027
检测是否限制 root 用户远程登录
修改配置:vi /etc/ssh/sshd_config,修改或配置 PermitRootLogin no
检查是否限制用户 su 到 root
添加配置:vi /etc/pam.d/su,修改或配置 auth sufficient pam_rootok.so
添加配置:vi /etc/pam.d/su,修改或配置 auth required pam_wheel.so group=wheel
检查是否配置用户最小授权
chmod 644 /etc/passwd 设置文件权限低于等于 644
chmod 644 /etc/group 设置文件权限低于等于 644
chmod 600 /etc/shadow 设置文件权限低于等于 600
检查是否关闭不必要的服务和端口
通过 chkconfig --list daytime 查看对应的服务是否开启,通过 chkconfig daytime off 关闭
daytime-udp time time-udp echo echo-udp discard discard-udp chargen chargen-udp ntalk ident printer bootps tftp kshell klogin lpd nfs nfs.lock sendmail ypbind
检查是否删除或锁定无关账号
配置 listen,gdm,webservd,nobody,nobody4,noaccess 账号的状态,通过命令如下:
chsh listen -s /sbin/nologin
chsh gdm -s /sbin/nologin
chsh webservd -s /sbin/nologin
chsh nobody -s /sbin/nologin
chsh nobody4 -s /sbin/nologin
userdel noaccess
检查用户 FTP 访问安全是否配置
如果有开启 vsftpd 则需要配置如下两个文件,内容添加 root
vi /etc/vsftpd.chroot_list 配置 root
vi /etc/vsftpd/chroot_list 配置 root
检测是否删除潜在危险文件
全局搜索是否存在:.rhosts 文件,如果存在则删除掉
全局搜索是否存在:.netrc 文件,如果存在则删除掉
全局搜索是否存在:.hosts.equiv 文件,如果存在则删除掉
检查密码过期时间
编辑:vi /etc/login.defs 设置 PASS_MAX_DAYS=90(等号要记得写),时间要小于等于90
检查密码创建要求是否配置
vi /etc/pam.d/common-password , 修 改 或 配 置 password requisite pam_cracklib.so retry=3 minlen=8 minclass=3
vi /etc/pam.d/system-auth,password requisite pam_cracklib.so try_first_pass retry=3 minlen=8 minclass=3
vi /etc/login.defs,修改或配置 PASS_MIN_LEN=8,设置为大于等于 8
vi /etc/pam.d/system-auth,启动 pam_passwdqc.so 模块
检查是否禁止匿名 FTP
vi /etc/vsftpd.conf,配置修改 anonymous_enable=NO
vi /etc/vsftpd/vsftd.conf,配置修改 anonymous_enable=NO 作者:李慕忱LiMuC https://www.bilibili.com/read/cv20995539 出处:bilibili
标签:640,etc,vi,配置,pam,nginx,加固,root,安全 From: https://www.cnblogs.com/leihongnu/p/17380676.html