首页 > 系统相关 >linux 安全基线加固

linux 安全基线加固

时间:2023-06-18 19:01:10浏览次数:47  
标签:文件 cat etc 基线 conf linux 加固 pam

linux 基线加固

1、隐藏SSH的banner信息

检查办法

cat /etc/ssh/sshd_config 是否为注释Banner /etc/issue.net 行,不存在未注释Banner行或Banner值为none也是合规的

加固办法

隐藏SSH的Banner信息:

先备份sshd_config

cp -p /etc/ssh/sshd_config  /etc/ssh/sshd_config_bak

vim  /etc/ssh/sshd_config  隐藏Banner 信息

2、定时账户自动退出

检查办法

bash 下空闲等待时间TMOUT 设置:

TMOUT的值大于0且小于等于300 为合规

cat /etc/profile|grep export  

加固办法

备份profile 文件

cp /etc/profile /etc/profile_bak

vim /etc/profile

添加/新增

export TMOUT=300

然后执行source /etc/profile

3、配置远程日志服务器

检查办法

配置远程日志服务器:

查看日志文件是否配置远程日志服务器,存在则合规

查看命令:cat /etc/rsyslog.conf;cat /etc/syslog/conf;cat /etc/rsyslog.d/50-default.conf

加固配置

先配置文件cp -p /etc/rsyslog.conf /etc/rsyslog.conf_bak

配置文件

vim /etc/rsyslog.conf  

添加如下行

*.* @172.0.0.1  

根据实际情况配置远程ip地址

4、检查新建用户的home目录的缺省访问权限

检查办法

查看/etc/login.defs中是否存在UMASK 027,存在则合规

加固办法

检查新建用户的home目录的缺省访问权限

备份/etc/login.defs /etc/login.defs_bak

vim /etc/login.defs 在尾部增加UMASK 027(如果文件中有umask,则需要先循环注释),将缺省访问权限设置为750

5、检查是否指定用户组成员使用su 命令

检查办法

检查是否指定用户组使用su命令

存在auth requires pam_wheel.so group=wheel 表示合规

查看文件:cat /etc/pam.d/su

加固配置

先备份 cp /etc/pam.d/su /etc/pam.d/su_bak

编辑文件

vim /etc/pam.d/su

添加或修改如下行auth requires pam_wheel.so group=wheel (其中wheel组为可以su到root的用户组)

6、检查账户口令是否符合要求

检查办法

设置账户口令有效期

PASS_MAX_DAYS 的值大于0且小于等于90则为合规

查看命令:cat /etc/login.defs

加固配置

设置账户口令有效期

执行命令配置文件

编辑文件/etc/login.defs

PASS_MAX_DAYS 90

7、检查密码字符串中含有大写字符个数:

使用pam_cracklib.so模块

备份文件/etc/pam.d/system-auth或/etc/pam.d/passwd

修改文件文件system-auth或passwd

password required pam_cracjlib.so dcredit=-1 ucredit=-1 lcredit=-1 ocredit=-1

使用pam_pwquality.so模块

备份文件/etc/pam.d/system-auth或/etc/pam.d/passwd

修改文件文件system-auth或passwd

password required pam_pwquality.so dcredit=-1 ucredit=-1 lcredit=-1 ocredit=-1

或在pwquality.conf修改 dcredit=-1 ucredit=-1 lcredit=-1 ocredit=-1

注意只需要修改文件其中两个中的一个

8、检查vsftp回显信息

检查办法

修改vsftp回显信息

cat /etc/vsftpd/vsftpd.conf

加固配置

修改vsftp.conf 回显信息

vim /etc/vsftpd/vsftpd.conf

ftpd_banner="Authorized users only .All activity may be monitired and reported"

重启服务:

/etc/init.d/xinetd restart  

9、限制超级管理员的用户远程登录

检查办法

禁止root用户远程登录

查看文件sshd_conf 文件中的PermitRootLogin的值是否为no ,为no为合规

cat /etc/ssh/sshd_config|grepPermitRootLogin

加固配置

vim /etc/ssh/sshd.conf

修改  PermitRootLogin no  

10、账户目录中不存在危险文件

检查办法

账户目录中不存在.rhosts文件:

返回值不包含.rhosts文件

查看命令:ls -la $(cut -d":" -f6 /etc/passwd) 2>/dev/null| grep -E ".rhosts|/" --color=never

账户目录中不存在.netrc文件

查看命令:ls -la $(cut -d":" -f6 /etc/passwd) 2>/dev/null| grep -E ".netrc|/" --color=never

加固配置

账户目录中不存在.rhost文件:

rm -f 文件

账户目录中不存在.netrc文件:

rm -f 文件

11、关闭不必要的服务

检查方法

关闭不必要的服务

查看服务列表

查看命令 LANG="en_US" chkconfig --list > /tmp/systemctl.txt && cat /tmp/systemctl.txt

rm -f /tmp/systemctl.txt

加固配置

关闭不必要的服务

禁止非必要服务

chkconfig [servicce] off  

12、查看组和组内用户  

检查办法

查看命令:cat /etc/group

加固办法

备份文件cp /etc/group /etc/group_bak

修改用户所属组

usermod -g group username

13、对用户登录认证、权限变更进行记录

检查办法

配置记录用户权限变更日志

查看cat /etc/rsyslog.conf;cat /etc/syslog.conf;cat /etc/rsyslog.d/50-default.conf 是否配置authpriv.info /<path>或authpriv.* /</path> 存在则为合规

加固配置

配置记录用户权限变更日志:

备份配置文件cp -p etc/syslog.conf etc/syslog.conf_bak

vim /etc/rsyslog.conf

添加authpriv.info /<path>或authpriv.* /</path>.

14、限制部分用户访问ftp

检查办法

cat /etc/ftpaccess  

加固配置

将禁止访问的用户加入/etc/ftpaccess 文件

15、重要文件和目录的权限进行设置

passwd 文件权限应小于等于644

ll /etc/passwd

shadow 文件的权限,应小于等于400  

ll /etc/shadow

group文件权限应小于等于644

ll /etc/group

加固配置

passwd 修改配置文件

修改passwd 文件权限chmod 644 /etc/passwd

shadow 文件权限

备份shadow 文件

修改shadow文件权限 chmod 400 /etc/shadow

备份group文件

修改group 文件权限chmod 644 /etc/group



标签:文件,cat,etc,基线,conf,linux,加固,pam
From: https://blog.51cto.com/u_16056808/6509235

相关文章

  • Linux安装StableDiffusion
    安装conda:https://www.xtuos.com/5532.htmlhttps://cloud.tencent.com/developer/article/2063049配置conda切换国内镜像源:https://blog.51cto.com/u_15073468/5528338condaconfig--addchannelshttp://mirrors.tuna.tsinghua.edu.cn/anaconda/pkgs/free/condaconfig--add......
  • Linux 多路转接 —— select
    目录传统艺能......
  • linux学习笔记(31)容器
    【1】容器的介绍(1.1)基本概念容器:针对应用(服务)所需的运行环境,比如依赖、目录、网络、用户等整体封装的技术。封装好的应用(服务)环境叫做镜像,可以理解成迷你版虚拟机或者豪华软件包。当前大多数镜像,是软件厂商自己封装好的,我们直接下载使用即可。如:nginx。核心三个......
  • 在Mac上编译可运行在Linux, Windows上的GO程序
     编译运行在amd64位linux系统CGO_ENABLED=0GOOS=linuxGOARCH=amd64gobuild 编译运行在amd64位windows系统CGO_ENABLED=0GOOS=windowsgobuild ......
  • linux学习笔记(30)swap交换分区
    【1】查看swap(1.1)swap在线配置/扩容流程lsblk//查看物理盘和分区情况free-h//查看当前内存df-hT//查看当前磁盘挂载分布于磁盘格式#swap配置mkswap/dev/sdb2//格式化磁盘分区为swapblkid/dev/sdb2//查看分区......
  • Linux安装mysql登录问题-适用root强制登录
    安装mysql后,常规方法登录出现错误提示。直接:/etc/my.cnf添加以下加粗的三句:#cacheinMySQL.Startat70%oftotalRAMfordedicatedserver,else10%.#innodb_buffer_pool_size=128M##Removeleading#toturnonaveryimportantdataintegrityoption:loggi......
  • Linux 虚拟内存系统
    Linux虚拟内存系统首先,对Linux的虚拟内存系统做一个概述,以了解一个实际的操作系统是如何组织虚拟内存,以及如何处理缺页(pagefault)的。Linux位为每个进程维护了一个单独的虚拟地址空间,形式如下:可以看到,虚拟地址空间可以分为内核虚拟内存空间和用户虚拟内存空间两部分,实际上......
  • linux shell 编程比较详解
    shell编程字符串比较shell中整数比较和字符串比较方法,如等于,不等于,大于,大于等于,小于,小于等于等。1、整数比较-eq等于,如if["$a"-eq"$b"]-ne不等于,如if["$a"-ne"$b"]-gt大于,如if["$a"-gt"$b"]-ge大于等于,如if["$a"-ge"......
  • 【简介】一个捕捉Linux系统事件工具:systemtap
    SystemTap于2005年出初版,已经历尽了5年多的发展,是一个相对成熟的工具。它可以用来捕捉Linux系统事件,例如:系统调用,jiffies的搏动,对proc文件系统的读写事件,对ext3的读写事件等等。 用户使用systemtap特有的脚本语言编写事件处理函数,systemtap将这些脚本进行编译转化成内核模块并插......
  • archLinux grub 双系统引导
    1安装grub、efibootmgr和os-prober##安装grub,efibootmgr,os-probersudopacman-Sgrubefibootmgros-prober##安装grub到boot文件夹中。uefi启动grub-install--target=x86_64-efi--efi-directory=/boot--bootloader-id=GRUB##非uefi启动grub-install--target=i......