当前位置:文档之家 › Linu 安全加固基线明细

Linu 安全加固基线明细

  • 格式:xls
  • 大小:179.50 KB
  • 文档页数:6

下载文档原格式

  / 6

合集下载

linux系统安全加固规范

linux系统安全加固规范

Linux主机操作系统加固规范目录第1章概述21.1目的错误!未定义书签。

1.2适用范围错误!未定义书签。

1.3适用版本错误!未定义书签。

1.4实施错误!未定义书签。

1。

5例外条款错误!未定义书签。

第2章账号管理、认证授权22。

1账号22.1。

1用户口令设置22.1。

2root用户远程登录限制32.1.3检查是否存在除root之外UID为0的用户32.1。

4root用户环境变量的安全性32.2认证错误!未定义书签。

2。

2。

1远程连接的安全性配置42。

2.2用户的umask安全配置42.2。

3重要目录和文件的权限设置52.2。

4查找未授权的SUID/SGID文件62.2.5检查任何人都有写权限的目录62。

2。

6查找任何人都有写权限的文件72.2。

7检查没有属主的文件72。

2。

8检查异常隐含文件8第3章日志审计93.1日志93。

1。

1syslog登录事件记录93。

2审计93。

2.1Syslog.conf的配置审核9第4章系统文件104。

1系统状态104。

1。

1系统core dump状态10第1章概述1.1 适用范围本配置标准的使用者包括:服务器系统管理员、应用管理员、网络安全管理员。

1.2 适用版本LINUX系列服务器;第2章账号管理、认证授权2.1 账号2.1.1 用户口令设置2.1.2 root用户远程登录限制2.1.3 检查是否存在除root之外UID为0的用户2.1.4 root用户环境变量的安全性2.1.5 远程连接的安全性配置2.1.6 用户的umask安全配置2.1.7 重要目录和文件的权限设置2.1.8 查找未授权的SUID/SGID文件2.1.9 检查任何人都有写权限的目录2.1.10 查找任何人都有写权限的文件2.1.11 检查没有属主的文件2.1.12 检查异常隐含文件第3章日志审计3.1 日志3.1.1 syslog登录事件记录3.2 审计3.2.1 Syslog.conf的配置审核第4章系统文件4.1 系统状态4.1.1 系统core dump状态。

Linux系统安全配置基线要点

Linux系统安全配置基线要点

Linux系统安全配置基线
目录
第1章概述 (1)
1.1目的 (1)
1.2适用范围 (1)
1.3适用版本 (1)
第2章安装前准备工作 (1)
2.1需准备的光盘 (1)
第3章操作系统的基本安装 (1)
3.1基本安装 (1)
第4章账号管理、认证授权 (2)
4.1账号 (2)
4.1.1用户口令设置 (2)
4.1.2检查是否存在除root之外UID为0的用户 (3)
4.1.3检查多余账户 (3)
4.1.4分配账户 (3)
4.1.5账号锁定 (4)
4.1.6检查账户权限 (5)
4.2认证 (5)
4.2.1远程连接的安全性配置 (5)
4.2.2限制ssh连接的IP配置 (5)
4.2.3用户的umask安全配置 (6)
4.2.4查找未授权的SUID/SGID文件 (7)
4.2.5检查任何人都有写权限的目录 (7)
4.2.6查找任何人都有写权限的文件 (8)
4.2.7检查没有属主的文件 (8)
4.2.8检查异常隐含文件 (9)
第5章日志审计 (10)
5.1日志 (10)
5.1.1syslog登录事件记录 (10)
5.2审计 (10)
5.2.1Syslog.conf的配置审核 (10)
5.2.2日志增强 (11)
5.2.3syslog系统事件审计 (11)
第6章其他配置操作 (12)
6.1系统状态 (12)
6.1.1系统超时注销 (12)
6.2L INUX服务 (12)
6.2.1禁用不必要服务 (12)
第7章持续改进 (13)。

Linux项目加固清单

Linux项目加固清单

Linux主机加固清单一、加固主机列表本次安全加固服务的对象包括:编号IP地址操作系统用途或服务服务器填写规则:编号统一使用“型号_地址缩写_数字”型号(H-主机;D-设备),数字使用三位数字顺序号。

二、加固方案2.1 H-YT-001基本信息设备所在地正式域名/主机名外部IP地址内部IP地址网关域名服务器操作系统版本号硬件信息中央处理器内存外部存储设备应用服务信息名称应用服务及版本情况其他信息安全补丁情况其他情况2.1.1操作系统加固方案2.1.1.1补丁安装编号:Linux-01002 Linux-01005 Linux-02001名称:补丁安装系统当前状态:实施方案:补丁地址:https:///security/updates/RPM包:# rpm -Fvh [文件名]实施目的:可以使系统版本为最新并解决安全问题实施风险:请慎重对系统打补丁,补丁安装应当先在测试机上完成。

补丁安装可能导致系统或摹写服务无法工作正常。

在下载补丁包时,一定要对签名进行核实,防止执行特洛伊木马。

是否实施:是否(客户填写)2.1.1.2帐号、口令策略修改编号:Linux-03001 Linux-03002 Linux-03003Linux-03004 Linux-03005名称:去除不需要的帐号、修改默认帐号的shell变量系统当前状态:实施方案:# userdel lp# groupdel lp如果下面这些系统默认帐号不需要的话,建议删除。

lp, sync, shutdown, halt, news, uucp, operator,games, gopher修改一些系统帐号的shell变量,例如uucp,ftp和news等,还有一些仅仅需要FTP功能的帐号,一定不要给他们设置/bin/bash或者/bin/sh等Shell变量。

可以在/etc/passwd中将它们的shell变量设为/bin/false或者/dev/null等,也可以使用usermod -s /dev/null username命令来更改username的shell为/dev/null。

linux系统安全基线

linux系统安全基线

linux系统安全基线Linux系统安全基线是指在构建和维护Linux操作系统时,按照一系列预定义的安全措施和规范来实施的一种最佳实践。

它主要是为了减少系统遭受恶意攻击的概率,保护系统的机密性、完整性和可用性。

本文将详细阐述Linux系统安全基线涉及的各个方面,并一步一步回答有关问题。

第一步:建立访问控制机制首先,我们需要建立合理的访问控制机制来限制用户的权限。

这可以通过为每个用户分配适当的权限级别和角色来实现。

例如,管理员账户应该具有最高的权限,而普通用户账户只能执行有限的操作。

此外,应该禁用不必要的账户,并定期审计所有账户和权限。

问题1:为什么建立访问控制机制是Linux系统安全基线的重要组成部分?答:建立访问控制机制可以限制用户的权限,避免未经授权的访问和滥用系统权限,从而提高系统的安全性。

问题2:如何建立访问控制机制?答:建立访问控制机制可以通过分配适当的权限级别和角色给每个用户来实现,同时禁用不必要的账户,并定期审计账户和权限。

第二步:加强系统密码策略系统密码是保护用户账户和系统数据的重要屏障,因此需要加强密码策略。

这包括要求用户使用强密码、定期更新密码、限制密码尝试次数等。

此外,为了避免密码泄露和未经授权的访问,应该启用多因素身份验证。

问题3:为什么加强系统密码策略是Linux系统安全基线的重要组成部分?答:加强系统密码策略可以提高账户和系统数据的安全性,避免密码泄露和未经授权的访问。

问题4:如何加强系统密码策略?答:加强系统密码策略可以通过要求用户使用强密码、定期更新密码、启用密码复杂性检查、限制密码尝试次数等方式来实现。

第三步:更新和修补系统Linux系统安全基线要求及时更新和修补系统以纠正已知的漏洞和安全问题。

这涉及到定期更新操作系统和软件包,并及时应用安全补丁。

此外,应该禁用不必要的服务和端口,以减少攻击面。

问题5:为什么更新和修补系统是Linux系统安全基线的重要组成部分?答:更新和修补系统可以修复已知的漏洞和安全问题,减少系统受攻击的风险。

linux系统安全加固规范

linux系统安全加固规范

Linux主机操纵零碎加固规范之杨若古兰创作
目录
第1章概述1
第章账号管理、认证授权
账号
第3章日志审计9
第4章零碎文件11
??零碎形态错误!未指定书签。

4.1.1零碎core dump形态11
第1章概述
1.1 适用范围
本配置尺度的使用者包含:服务器零碎管理员、利用管理员、收集平安管理员.
1.2 适用版本
LINUX系列服务器;
第2章账号管理、认证授权
2.1 账号
2.1.1 用户口令设置
2.1.2 root用户近程登录限制
2.1.3 检查是否存在除root以外UID为0的用户
2.1.4 root用户环境变量的平安性
2.1.5 近程连接的平安性配置
2.1.6 用户的umask平安配置
2.1.7 主要目录和文件的权限设置
2.1.8 查找未授权的SUID/SGID文件
2.1.9 检查任何人都有写权限的目录
2.1.10 查找任何人都有写权限的文件
2.1.11 检查没有属主的文件
2.1.12 检查异常隐含文件
第3章日志审计3.1 日志
3.1.1 syslog登录事件记录
3.2 审计
3.2.1
第4章零碎文件4.1 零碎形态
4.1.1 零碎core dump形态。

操作系统安全基线

操作系统安全基线

序号控制点基线要求1补丁管理应及时更新系统补丁2服务管理应删除已过时且不安全的服务3账号管理删除或锁定多余的默认系统用户4口令策略密码包括3种字符(数字、小写字母、大写字母和特殊符),口令长度至少8位。

5口令策略设置本地和远程登录5次失败后,普通账户锁定10分钟,root不受影响6认证授权设置10分钟无键盘操作,则退出终端。

7认证授权限制root直接远程登录8日志配置应配置日志功能,记录所有用户所执行的程序,程序执行情况信息等等9日志配置修改日志配置文件syslog.conf/rsyslog.conf权限为400(管理员只读)10协议安全使用SSH等相对安全的加密协议进行远程连接11操作安全记录bash命令历史记录12权限设置对重要的口令文件权限进行限制,防止恶意修改13权限设置拒绝系统默认的系统帐号使用ftp服务linux类基线:共13项,适用于centos 7+(注意:部分配置完成后需要重操作指南根据组织的信息安全策略要求,为系统安装系统安全补丁检测以下服务是不是运行中,若不需要以下服务,则删除服务:telnet . rsh . NIS . TFTP . Talk . chargen-dgram . daytime-dgram .echo-dgram . tcpmux-server若不需要以下系统默认账户,建议删除或锁定:adm . lp . mail . uucp . operator . games . gopher . ftp . nobody . rpm . dbus. avahi . mailnull . smmsp . nscd . vcsa . rpc . rpcuser . nfsnobody . sshd .pcap . ntp .haldaemon . distcache . apache . webalizer . squid . xfs .gdmsabayon . named删除用户:#userdel username;锁定用户:1.修改/etc/shadow文件,用户名后的第一个冒号后加一个感叹号"!"2.将/etc/passwd文件中的shell域设置成/bin/nologin#vi /etc/security/pwquality.confminlen = 8 密码至少8位minclass = 3 至少3种字符指定当本地用户登陆失败次数等于或者大于允许的重试次数则账号被锁定:1.本地登录失败锁定:#vi /etc/pam.d/system-auth 在第2行添加:auth required pam_tally2.so deny=5 unlock_time=600 no_lock_time2.远程登录失败锁定:#vi /etc/pam.d/sshd 在第2行添加:auth required pam_tally2.so deny=5 unlock_time=600 no_lock_time#vim /etc/ssh/sshd_config将"#ClientAliveInterval 0"更改为"ClientAliveInterval 600"重启SSH服务:service sshd restart#vi /etc/ssh/sshd_config将"PermitRootLogin yes"改为"PermitRootLogin no"重启SSH服务:service sshd restartaccton默认是不开启,需要先创建记录文件再开启:#touch /var/log/pacct 创建记录文件#accton /var/log/pacct 开启并记录信息(#accton off 关闭)1.centos6以前版本#chmod 400 /etc/syslog.conf2.centos7+版本#chmod 400 /etc/rsyslog.conf#/etc/init.d/sshd start 启动SSH#/etc/init.d/sshd stop 停止SSH#/etc/init.d/sshd status 查看运行状态#chkconfig --level 2345 sshd on 设置开机启动1).#vi /etc/profile 在底部添加以下代码:#------------------------------------------#historyHISTFILESIZE=4096HISTSIZE=4096USER_IP=`who -u am i 2>/dev/null| awk '{print $NF}'|sed -e 's/[()]//g'` if [ -z $USER_IP ]thenUSER_IP=`hostname`fiHISTTIMEFORMAT="[%F %T] [`whoami`: $USER_IP] "export HISTTIMEFORMAT#------------------------------------------2).#source /etc/profile 重新加载配置文件对/etc/passwd、/etc/shadow、/etc/ group进行以下权限配置:#chown root:/etc/passwd /etc/shadow /etc/group#chmod 644 /etc/passwd /etc/group#chmod 400 /etc/shadow1).#touch /etc/ftpusers 创建文件2).#chmod 644 /etc/ftpusers 配置访问限制3).vi /etc/ftpusers 将不使用的系统默认账户添加进文件里rootdaemonsysy...需要重启服务/系统)检测方法1、 判定条件服务器不存在中高危漏洞。

绿盟Linux安全配置基线

绿盟Linux安全配置基线绿盟安全加固项目Linux 系统安全配置基线绿盟2009年 3月绿盟第 1 页共 15 页绿盟安全加固项目版本版本控制信息更新日期更新人审批人创建 2009年1月 V1.0备注:1. 若此文档需要日后更新~请创建人填写版本控制表格~否则删除版本控制表格。

绿盟第 2 页共 15 页绿盟安全加固项目目录第1章概述 ..................................................................... ............................................... 错误~未定义书签。

1.1 目的 ..................................................................... ...............................................错误~未定义书签。

1.2 适用范围 ...........................................................................................................错误~未定义书签。

1.3 适用版本 ..................................................................... ......................................错误~未定义书签。

1.4 实施 ..................................................................... ...............................................错误~未定义书签。

(完整word版)Linux安全配置基线-2018.5.23

Linux 系统安全配置基线武汉明嘉信信息安全检测评估有限公司文档变更记录备注:1.若此文档需要日后更新,请创建人填写版本控制表格,否则删除版本控制表格。

目录第1章概述 (4)1.1 目的 (4)1.2 适用范围 (4)1.3 适用版本 (4)1.4 实施 (4)1.5 例外条款......................................................................................... 错误!未定义书签。

第2章帐号管理、认证授权. (5)2.1 帐号 (5)2.1.1用户口令设置 (5)2.1.2用户口令强度要求 (5)2.1.3用户锁定策略 (6)2.1.4root用户远程登录限制 (6)2.1.5检查是否存在除root之外UID为0的用户 (7)2.1.6root用户环境变量的安全性 (7)2.2 认证 (7)2.2.1远程连接的安全性配置 (7)2.2.2用户的umask安全配置 (8)2.2.3重要目录和文件的权限设置 (8)2.2.4查找未授权的SUID/SGID文件* (9)2.2.5检查任何人都有写权限的目录* (10)2.2.6查找任何人都有写权限的文件* (10)2.2.7检查没有属主的文件* (11)2.2.8检查异常隐含文件* (11)2.2.9登录超时设置 (12)2.2.10使用SSH远程登录 (12)2.2.11Root远程登录限制 (13)2.2.12关闭不必要的服务* (13)第3章日志审计 (15)3.1 日志 (15)3.1.1syslog登录事件记录* (15)3.2 审计 (15)3.2.1Syslog.conf的配置审核* (15)第4章系统文件 (17)4.1 系统状态 (17)4.1.1系统core dump状态 (17)第5章评审与修订 (18)第1章概述1.1 目的本文档规定了武汉明嘉信信息安全检测评估有限公司技术部所维护管理的LINUX 操作系统的主机应当遵循的操作系统安全性设置标准,本文档旨在指导系统管理人员或安全检查人员进行LINUX 操作系统的安全合规性检查和配置。

Linux安全加固基线明细

小牛分期编号 CentOS-1
级别 基线详述
应按照不同的用户分配不同的账号,避免不同 3 用户间共享账号,避免用户账号和设备间通信
使用的账号共享。
CentOS-2
3 应删除与运行、维护等工作无关的账号。
CentOS-3 CentOS-4 CentOS-5
CentOS-6 CentOS-7 CentOS-8
少1个,为正数如3表示最多3个,minclass特殊字符个数。
(3)也可以修改文件/etc/login.defs来定义密码长度,配置如下内容:
PASS_MIN_LEN=10
1、参考配置
(1)设置密码生存周期 修改文件/etc/login.defs,配置如下内容:
确认
PASS_MAX_DAYS=60
1、参考配置
控制用户缺省访问权限,当在创建新文件或目
1
录时 应屏蔽掉新文件或目录不应有的访问允 许权限。防止同属于该组的其它用户及别的组
的用户修改该用户的文件或更高限制。
控制FTP进程缺省访问权限,当通过FTP服务创 3 建新文件或目录时应屏蔽掉新文件或目录不应
有的访问允许权限。
在保证业务网络稳定运行的前提下,安装最新 的OS补丁。补丁在安装前需要测试确定。
1 启用记录cron行为日志功能
CentOS-18 CentOS-19
CentOS-20
CentOS-21 CentOS-22 CentOS-23
1 关闭不必要的服务。
2
修改系统banner,避免泄漏操作系统名称,版 本号,主机名称等,并且给出登陆告警信息
1
.rhosts,.netrc,hosts.equiv等文件都具有 潜在的危险,如果没有应用,应该删除

Linux系统安全加固配置规范

Linux系统安全加固配置规范目录1、目的 (4)2、适用范围 (4)3、具体设置 (4)1、目的本方案明确Linux系统安全配置基本要求;通过实施本配置方案,建立Linux系统安全基线。

2、适用范围本方案适用于Cent OS 系统。

3、具体设置3.1物理安全3.1.1设置服务器BIOS密码且修改引导次序,禁止从软驱、光驱、USB方式启动系统。

3.2系统安装3.2.1系统安装镜像应来自官方网站,安装系统前应对安装镜像进行完整性校验,软件应按需安装;3.2.2系统安装时应设置GRUB引导密码;3.2.3系统安装毕后使用官方源进行更新,运行#yum update待更新软件名,应对已知高危漏洞进行修补。

漏洞信息参考CVE漏洞库或Bugtraq 漏洞库;3.2.4系统更新完毕后,运行#chkconfig --level 35 yum-update off关闭系统自动更新服务。

3.2.5运行#rpm –qa > /var/5173/rpmlist,记录系统软件安装列表信息。

3.3账号口令3.3.1按照用户分配账号,避免不同用户间共享账号,避免用户账号和设备间通信使用的账号共享;根据系统要求及业务需求,建立多用户组,将用户账号分配到相应的用户组;3.3.2编辑/etc/pam.d/system-auth,禁止空口令用户登陆,将以下字段auth sufficient pam_unix.so nullok try_first_passpassword sufficient pam_unix.so md5 shadow nulloktry_first_pass use_authtok改为auth sufficient pam_unix.so try_first_passpassword sufficient pam_unix.so md5 shadowtry_first_pass use_authtok3.3.3编辑/etc/login.defs,修改口令长度、口令生存周期、口令过期告警策略,修改字段如下:PASS_MAX_DAYS 90PASS_MIN_DAYS 0PASS_MIN_LEN 8PASS_WARN_AGE 10注:策略更改后对新建用户有效,口令过期后无法登陆系统,可以运行#chage -M 90 –W 10 username单独修改某一账号口令有效期。

  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

动为该组分配一个GID号;
#usermod –g group username
#将用户username分配到group组中。
可以根据实际需求使用如上命令进行设置。
确认
2、补充操作说明
(1)当group_name字段长度大于八个字符,groupadd命令会执行失败;
(2)当用户希望以其他用户组成员身份出现时,需要使用newgrp命令进行更改,如:#newgrp sys
修改文件/etc/syslog.conf,加上这一行:
*.* @loghost (中间的分隔符为tab)
日志转储
可以将"*.*"替换为你实际需要的日志信息。比如:kern.* / mail.* 等等。
(2)重新启动syslog服务,依次执行下列命令:
#/etc/init.d/syslog restart
确认
1、参考配置 (1)修改文件/etc/rc.d/rc.local,注释含有“echo ……>> /etc/issue”信息的行,在行首添加 “#” (2)删除/etc/issue文件 1、参考配置 (1)检查系统中是否有.netrc文件
#find / -name .netrc (2)检查系统中是否有.rhosts文件
对于采用静态口令认证技术的设备,口令长度 3 至少10位,并包括数字、小写字母、大写字母
和特殊符号4类中至少3类。
3
对于采用静态口令认证技术的设备,帐户口令 的生存期不长于90天。
1
在设备权限配置能力内,根据用户的业务需 要,配置其所需的最小权限。
限制具备超级管理员权限的用户远程登录。远
3
程执行管理员权限操作,应先以普通权限用户 远程登录后,再切换到超级管理员权限账号后
#chmod 750 directory #其中750为设置的权限,可根据实际情况设置相应的权限,directory
是要更改权限的目录或文件
1、参考配置
(1)删除用户:#userdel username;
(2)锁定用户:#passwd -l username
(3)解锁用户:#passwd -d username
即把当前用户以sys组身份运行;
1、参考配置
(1)使用PAM禁止任何人su为root
修改文件/etc/pam.d/su,在开头添加下面两行:
auth sufficient /lib/security/pam_rootok.so
auth required /lib/security/pam_wheel.so group=wheel
1、参考配置
(1)限制root用户远程登录。
修改文件/etc/ssh/sshd_config配置
PermitRootLogin no
修改文件/etc/securetty 配置 pts/*
确认
*为1、2、3、4、5.....
(2)重启sshd服务。
1、参考配置 (1)启用SSH的命令:#/etc/init.d/sshd start (2)禁用Telnet的命令:修改文件/etc/xinetd.d/telnet,将disable的值改为yes
小牛分期编号 CentOS-1
级别 基线详述
应按照不同的用户分配不同的账号,避免不同 3 用户间共享账号,避免用户账号和设备间通信
使用的账号共享。
CentOS-2
3 应删除与运行、维护等工作无关的账号。
CentOS-3 CentOS-4 CentOS-5
CentOS-6 CentOS-7 CentOS-8
少1个,为正数如3表示最多3个,minclass特殊字符个数。
(3)也可以修改文件/etc/login.defs来定义密码长度,配置如下内容:
PASS_MIN_LEN=10
1、参考配置
(1)设置密码生存周期 修改文件/etc/login.defs,配置如下内容:
确认
PASS_MAX_DAYS=60
1、参考配置
1、参考配置 (1)修改文件权限,执行如下命令:
#chmod 640 /var/log/messages /var/log/secure /var/log/maillog /var/log/cron /var/log/spooler /var/log/boot.log
确认 确认
1、参考配置
(1)设置远程日志发送功能
确认
这表明只有wheel组的成员可以使用su命令成为root用户。你可以把用户添加到wheel组,以使它可以
使用su命令成为root用户。添加方法为:
#chmod –G10 username
1、参考配置
(1)设置默认权限:
修改文件/etc/login.defs,配置“UMASK 027”
2、补充操作说明
#find / -name .rhosts (2)检查系统中是否有hosts.equiv文件
#find /etc -name hosts.equiv (3)如无应用,在相关文件目录下,删除以上文件:
#mv .rhost .rhost.bak #mv .netr .netr.bak #mv hosts.equiv hosts.equiv.bak
password requisite pam_cracklib.so minlen=10 lcredit=-1 ucredit=-1 dcredit=-1
ocredit=-1 minclass=3 2、补充操作说明
确认
(1)minlen 表示口令长度
(2)lcredit ucredit dcredit ocredit表示小写、大写、数字、符合,设定值为为负数如-1表示至
使用相关的信息。
1、参考配置 (1)设置定时账户自动登出时间 修改/etc/profile文件,设置如下内容:
export TMOUT=180;export TMOUT
确认,时 间有点 短,可以 暂时不设 置。
1、参考配置
(1)创建帐户组:
#groupadd –g GID groupname
#创建一个组,并为其设置GID号,若不设GID,系统会自
avahi-autoipd、sabayon、pcap
1、参考配置
(1)修改文件/etc/pam.d/passwd,在password区增加如下配置内容:
password include
system-auth
(2)修改文件/etc/pam.d/system-auth,在password区配置如下内容:
(1)通过chmod 命令对目录的权限进行实际设置
#chmod 644 /etc/passwd
#chown root:root /etc/passwd #chmod 400 /etc/shadow
确认
#chown root:root /etc/shadow
#chmod 644 /etc/group
#chown root:root /etc/group
1、参考配置
(1)修改/etc/syslog.conf,添加如下一行:
authpriv.* /var/log/secure(中间的分隔符是tab)
(2)重启syslog服务
#/etc/init.d/syslog restart
确认
2、补充操作说明
(1)将authpirv设备的任何级别的信息记录到/var/log/secure文件中,这主要是一些和认证、权限
1、参考配置 (1)配置对cron行为进行审计: 修改文件/etc/syslog.conf,设置如下内容:
cron.* /var/log/cron(中间分隔符为tab) (2)重启syslog服务
#/etc/init.d/syslog restart
确认
1、参考配置 (1)关闭服务
#chkconfig --level 3 servername off #chkconfig --level 5 servername off 2、补充操作说明 (1)建议关闭的服务有:daytime、time、echo、discard、chargen、telnet、sendmail、ntalk、 ident、printer、bootps、tftp、kshell、klogin、lpd、nfs、nfs.lock、ypbind
确认 确认
1、参考配置 (1)在文件/etc/vsftpd/ftpusers中增加超级用户。 (2)重启FTP服务 1、参考配置 (1)不要使用匿名ftp,修改vsftd.conf文件,配置如下:
anonymous_enable=NO 1、参考配置 (1)使用vsftpd,则修改文件:/etc/vsftpd/vsftpd.conf,添加如下内容:
1 禁止root登陆FTP 1 禁止匿名ftp 1 修改FTP banner 信息
解决方案
备注
1、参考配置
使用如下命令为不同的用户分配不同的账号,设置不同的口令及权限信息等。
(1)为用户创建账号:
#useradd username #创建账号 #passwd username #设置密码
确认
(2)P协议进行远程维护的设备,设备应 1 配置使用SSH等加密协议,并安全配置SSHD的
设置。
3
系统日志文件由syslog创立并且不可被其他用 户修改;其它的系统日志文件不是全局可写
CentOS-9 CentOS-10 CentOS-11 CentOS-12
3
设备配置远程日志功能,将需要重点关注的日 志内容传输到日志服务器。
1 启用记录cron行为日志功能
CentOS-18 CentOS-19
CentOS-20
CentOS-21 CentOS-22 CentOS-23
1 关闭不必要的服务。