检查项:
Ensure message of the day is configured properly
检查项:
确保当天消息配置正确
描述:
/etc/motd文件的内容在登录后显示给用户,并作为当天的消息用于经过身份验证的用户。
基于Unix的系统通常在登录系统时显示有关操作系统版本和补丁级别的信息。 此信息对于为特定OS平台开发软件的开发人员非常有用。 如果mingetty(8)支持以下选项,它们将显示操作系统信息:\m-机器体系结构 \r-操作系统版本 \s-操作系统名称 \v-操作系统版本。
原理:
警告消息会通知尝试登录系统的用户,了解有关系统的合法状态,并且必须包含拥有系统的组织的名称以及所有适用的监控策略。 在登录提示中显示操作系统和补丁级别信息还具有向试图针对系统的特定漏洞利用的攻击者提供详细系统信息的风险。 授权用户可以通过在登录后运行“uname -a”命令轻松获取此信息。
配置方法:
根据您的站点策略使用适当的内容编辑/etc/motd文件,删除\m,\r,\s或\v的所有实例。
检测方法:
1.运行以下命令并验证内容是否与站点策略匹配:
# cat /etc/motd
2.运行以下命令并确保没有返回结果:
# egrep '(\\v|\\r|\\m|\\s)' /etc/motd
检查项:
Ensure local login warning banner is configured properly
检查项:
确保正确配置本地登录警告信息
描述:
在登录本地终端之前,会向用户显示/etc/issue文件的内容。
原理:
警告消息会通知尝试登录系统的用户,了解有关系统的合法状态,并且必须包含拥有系统的组织的名称以及所有适用的监控策略。 在登录提示中显示操作系统和补丁级别信息还具有向试图针对系统的特定漏洞利用的攻击者提供详细系统信息的风险。 授权用户可以通过在登录后运行“uname -a”命令轻松获取此信息。
配置方法:
根据您的站点策略使用适当的内容编辑/etc/issue文件,删除\m,\r,\s或\v的所有实例。
示例修改/etc/issue:
echo "Authorized uses only. All activity may be monitored and reported." > /etc/issue
检测方法:
1.运行以下命令并验证内容是否与站点策略匹配:
# cat /etc/issue
2.运行以下命令并确保没有返回结果:
# egrep '(\\v|\\r|\\m|\\s)' /etc/issue
检查项:
Ensure remote login warning banner is configured properly
检查项:
确保正确配置远程登录提示信息
描述:
在登录之前,将向用户显示/etc/issue.net文件的内容,以便从已配置的服务进行远程连接。
原理:
警告消息会通知尝试登录系统的用户,了解有关系统的合法状态,并且必须包含拥有系统的组织的名称以及所有适用的监控策略。 在登录提示中显示操作系统和补丁级别信息还具有向试图针对系统的特定漏洞利用的攻击者提供详细系统信息的风险。 授权用户可以通过在登录后运行“uname -a”命令轻松获取此信息。
配置方法:
根据您的站点策略使用适当的内容编辑/etc/issue.net文件,删除\m,\r,\s或\v的所有实例。
示例修改/etc/issue.net:
# echo ""Authorized uses only. All activity may be monitored and reported."" > /etc/issue.net
检测方法:
1.运行以下命令并验证内容是否与站点策略匹配:
# cat /etc/issue.net
2.运行以下命令并确保没有返回结果:
# egrep '(\\v|\\r|\\m|\\s)' /etc/issue.net
检查项:
Ensure permissions on /etc/motd are configured
检查项:
确保正确配置/etc/motd权限
描述:
/etc/motd文件的内容在登录后显示给用户,并作为当天的消息用于经过身份验证的用户。
原理:
如果/etc/motd文件没有正确的权限,则未经授权的用户可能会修改错误或误导性信息。
配置方法:
运行以下命令配置/etc/motd的权限:
# chown root:root /etc/motd
# chmod 644 /etc/motd
检测方法:
1.运行以下的命令验证uid、gid都为0 /root 并且权限为644
# stat /etc/motd
Access: (0644/-rw-r--r--) Uid: ( 0/ root) Gid: ( 0/ root)
检查项:
Ensure permissions on /etc/issue are configured
检查项:
确保正确配置/etc/issue权限
描述:
在登录本地终端之前,会向用户显示/etc/issue文件的内容。
原理:
如果/etc/issue文件没有正确的权限,则未经授权的用户可能会修改为错误或误导性的信息。
配置方法:
运行以下命令配置/etc/issue的权限:
# chown root:root /etc/issue
# chmod 644 /etc/issue
检测方法:
1.运行以下的命令验证uid、gid都为0 /root 并且权限为644
# stat /etc/issue
Access: (0644/-rw-r--r--) Uid: ( 0/ root) Gid: ( 0/ root)
检查项:
Ensure permissions on /etc/issue.net are configured
检查项:
确保正确配置/etc/issue.net权限
描述:
在登录之前,将向用户显示/etc/issue.net文件的内容,以便从已配置的服务进行远程连接
原理:
如果/etc/issue.net文件没有正确的权限,则未经授权的用户可能会修改为错误或误导性的信息。
配置方法:
运行以下命令配置/etc/issue.net的权限:
# chown root:root /etc/issue.net
# chmod 644 /etc/issue.net
检测方法:
1.运行以下的命令验证uid、gid都为0 /root 并且权限为644
# stat /etc/issue.net
Access: (0644/-rw-r--r--) Uid: ( 0/ root) Gid: ( 0/ root)
检查项:
Ensure GDM login banner is configured
检查项:
确保配置了GDM登录提示信息
描述:
GDM是GNOME显示管理器,它处理基于GNOME的系统的图形登录。
原理:
警告消息会通知尝试登录系统的用户,了解有关系统的合法状态,并且必须包含拥有系统的组织的名称以及所有适用的监控策略。
注意:其他选项可能会出现在/etc/dconf/db/gdm.d/01-banner-message文件中.如果正在使用其他GUI登录服务,请查阅您的文档并应用等效的提示信息。
配置方法:
1.创建或编辑文件/etc/dconf/profile/gdm并添加以下内容:
user-db:user
system-db:gdm
file-db:/usr/share/gdm/greeter-dconf-defaults
2.创建或编辑文件/etc/dconf/db/gdm.d/01-banner-message并添加以下内容:
[org/gnome/login-screen]
banner-message-enable=true
banner-message-text='Authorized uses only. All activity may be monitored and reported.'
3.运行命令更新系统数据库
# dconf update
检测方法:
1.若系统中以及安装GDM,则验证/etc/dconf/profile/gdm是否存在并包含以下内容:
user-db:user
system-db:gdm
file-db:/usr/share/gdm/greeter-dconf-defaults
2.验证文件/etc/dconf/db/gdm.d/01-banner-message中banner-message-enable、banner-message-text选项是否配置:
[org/gnome/login-screen]
banner-message-enable=true
banner-message-text='<banner message>'
检查项:
Ensure updates, patches, and additional security software are installed
检查项:
确保安装了更新、补丁、额外的安全软件
描述:
由于安全漏洞或其他功能,会定期为包含的软件发布补丁。
原理:
较新的修补程序可能包含通过最新的完整更新无法使用的安全增强功能。 因此,建议使用最新的软件补丁来利用最新的功能。 与任何软件安装一样,组织需要确定给定的更新是否满足其要求,并根据所选的更新修订验证任何其他软件的兼容性和可支持性。
注意:在安装更新之前,应该按照站点策略对其进行测试。
配置方法:
使用包管理器根据站点策略更新系统上的所有包。 以下命令将安装所有可用更新:
# yum update
检测方法:
运行以下命令验证没有软件和补丁需要安装:
# yum check-update