银河麒麟高级服务器操作系统 V10 SP3 2303安全加固手册

最新推荐文章于 2025-03-11 08:59:57 发布
最新推荐文章于 2025-03-11 08:59:57 发布
阅读量1.2k 收藏 11
点赞数 14
文章标签: 服务器 安全 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_51178271/article/details/144403360
版权
目录
1 安全服务 .........................................................................................................................................1
1.1 检查是否关闭不必要的服务和端口 ................................................................................. 1
1.1.1 说明 .......................................................................................................................... 1
1.1.2 检查方法 .................................................................................................................. 1
1.1.3 修改建议 .................................................................................................................. 1
1.2 检查是否禁用不必要的系统服务 ..................................................................................... 1
1.2.1 说明 .......................................................................................................................... 1
1.2.2 检查方法 .................................................................................................................. 1
1.2.3 修改建议 .................................................................................................................. 1
1.3 禁止匿名 WU-FTP 用户登录 ............................................................................................ 2
1.3.1 说明 .......................................................................................................................... 2
1.3.2 检查方法 .................................................................................................................. 2
1.3.3 修改建议 .................................................................................................................. 2
1.4 禁止匿名 VSFTP 用户登录 ............................................................................................... 2
1.4.1 说明 .......................................................................................................................... 2
1.4.2 检查方法 .................................................................................................................. 2
1.4.3 修改建议 .................................................................................................................. 2
1.5 开启 ssh 服务 ...................................................................................................................... 3
1.5.1 说明 .......................................................................................................................... 3
1.5.2 检查方法 .................................................................................................................. 3
1.5.3 修改建议 .................................................................................................................. 3
1.6 禁用 telnet 服务 .................................................................................................................. 3
1.6.1 说明 .......................................................................................................................... 3
1.6.2 检查方法 .................................................................................................................. 3
1.6.3 修改建议 .................................................................................................................. 3
1.7 禁止 root 登录 VSFTP........................................................................................................4
1.7.1 说明 .......................................................................................................................... 4
1.7.2 检查方法 .................................................................................................................. 4
1.7.3 修改建议 .................................................................................................................. 4
1.8 禁止 root 登录 WU-FTP.....................................................................................................4
1.8.1 说明 .......................................................................................................................... 4
1.8.2 检查方法 .................................................................................................................. 4
1.8.3 修改建议 .................................................................................................................. 5
1.9 SSH 登录前 banner 设置 .....................................................................................................5
1.9.1 说明 .......................................................................................................................... 5 1.9.2 检查方法 .................................................................................................................. 5
1.9.3 修改建议 .................................................................................................................. 5
1.10 检查是否设置 ssh 成功登录后 Banner........................................................................... 6
1.10.1 说明 ........................................................................................................................ 6
1.10.2 检查方法 ................................................................................................................ 6
1.10.3 修改建议 ................................................................................................................ 6
1.11 检查 telnet Banner 设置 ...................................................................................................6
1.11.1 说明 .........................................................................................................................6
1.11.2 检查方法 ................................................................................................................ 6
1.11.3 修改建议 ................................................................................................................ 7
1.12 telnet 登录后的信息设置 .................................................................................................. 7
1.12.1 说明 ........................................................................................................................ 7
1.12.2 检查方法 ................................................................................................................ 7
1.12.3 修改建议 ................................................................................................................ 7
1.13 Telnet 未禁用 root 登录 .....................................................................................................8
1.13.1 说明 ........................................................................................................................ 8
1.13.2 检查方法 ................................................................................................................ 8
1.13.3 修改建议 ................................................................................................................ 8
1.14 SSH 未禁用 root 登录 ....................................................................................................... 8
1.14.1 说明 ........................................................................................................................ 8
1.14.2 检查方法 ................................................................................................................ 8
1.14.3 修改建议 ................................................................................................................ 8
1.15 SSH 未设置安全协议 ........................................................................................................9
1.15.1 说明 ........................................................................................................................ 9
1.15.2 检查方法 ................................................................................................................ 9
1.15.3 修改建议 ................................................................................................................ 9
1.16 SSH 日志等级未加固 ........................................................................................................9
1.16.1 说明 ........................................................................................................................ 9
1.16.2 检查方法 ................................................................................................................ 9
1.16.3 修改建议 .............................................................................................................. 10
1.17 SSH 失败尝试次数未配置 ..............................................................................................10
1.17.1 说明 ...................................................................................................................... 10
1.17.2 检查方法 .............................................................................................................. 10
1.17.3 修改建议 .............................................................................................................. 10
1.18 SSH 未禁用空密码用户登录 ..........................................................................................10
1.18.1 说明 ...................................................................................................................... 10
1.18.2 检查方法 .............................................................................................................. 10 1.18.3 修改建议 .............................................................................................................. 11
1.19 SSH 未禁用环境处理 ...................................................................................................... 11
1.19.1 说明 ...................................................................................................................... 11
1.19.2 检查方法 .............................................................................................................. 11
1.19.3 修改建议 .............................................................................................................. 11
1.20 SSH 强加密算法未开启 ..................................................................................................11
1.20.1 说明 ...................................................................................................................... 11
1.20.2 检查方法 .............................................................................................................. 12
1.20.3 修改建议 .............................................................................................................. 12
2 风险账户 ...................................................................................................................................... 12
2.1 空口令账号加固 ............................................................................................................... 12
2.1.1 说明 ........................................................................................................................ 12
2.1.2 检查方法 ................................................................................................................ 12
2.1.3 修改建议 ................................................................................................................ 12
2.2 系统账号登录限制 ........................................................................................................... 13
2.2.1 说明 ........................................................................................................................ 13
2.2.2 检查方法 ................................................................................................................ 13
2.2.3 修改建议 ................................................................................................................ 13
2.3 加固 uid 0 root 之外的帐户 ................................................................................... 13
2.3.1 说明 ........................................................................................................................ 13
2.3.2 检查方法 ................................................................................................................ 13
2.3.3 修改建议 ................................................................................................................ 13
2.4 锁定与设备运行和维护无关的账户 ...............................................................................14
2.4.1 说明 ........................................................................................................................ 14
2.4.2 检查方法 ................................................................................................................ 14
2.4.3 修改建议 ................................................................................................................ 14
3 密码强度 ...................................................................................................................................... 14
3.1 系统开启密码复杂度策略 ............................................................................................... 14
3.1.1 说明 ........................................................................................................................ 14
3.1.2 检查方法 ................................................................................................................ 14
3.1.3 修改建议 ................................................................................................................ 15
3.2 系统密码复杂度配置 ....................................................................................................... 15
3.2.1 说明 ........................................................................................................................ 15
3.2.2 检查方法 ................................................................................................................ 15
3.2.3 修改建议 ................................................................................................................ 15
3.3 口令生命周期加固 ........................................................................................................... 16 3.3.1 说明 ........................................................................................................................ 16
3.3.2 检查方法 ................................................................................................................ 16
3.3.3 修改建议 ................................................................................................................ 16
3.4 口令最小长度加固 ........................................................................................................... 16
3.4.1 说明 ........................................................................................................................ 16
3.4.2 检查方法 ................................................................................................................ 17
3.4.3 修改建议 ................................................................................................................ 17
3.5 口令更改最短间隔设置 ................................................................................................... 17
3.5.1 说明 ........................................................................................................................ 17
3.5.2 检查方法 ................................................................................................................ 17
3.5.3 修改建议 ................................................................................................................ 17
3.6 口令过期前警告天数设置 ............................................................................................... 18
3.6.1 说明 ........................................................................................................................ 18
3.6.2 检查方法 ................................................................................................................ 18
3.6.3 修改建议 ................................................................................................................ 18
3.7 检查密码重复使用次数限制 ........................................................................................... 18
3.7.1 说明 ........................................................................................................................ 18
3.7.2 检查方法 ................................................................................................................ 19
3.7.3 修改建议 ................................................................................................................ 19
4 账户锁定 ...................................................................................................................................... 19
4.1 口令失败尝试锁定功能开启 ........................................................................................... 19
4.1.1 说明 ........................................................................................................................ 19
4.1.2 检查方法 ................................................................................................................ 19
4.1.3 修改建议 ................................................................................................................ 19
4.2 配置口令失败尝试锁定 ................................................................................................... 20
4.2.1 说明 ........................................................................................................................ 20
4.2.2 检查方法 ................................................................................................................ 20
4.2.3 修改建议 ................................................................................................................ 20
5 系统安全 ...................................................................................................................................... 21
5.1 开启系统安全功能 ........................................................................................................... 21
5.1.1 说明 ........................................................................................................................ 21
5.1.2 检查方法 ................................................................................................................ 21
5.1.3 修改建议 ................................................................................................................ 21
5.2 firewalld 加固 .....................................................................................................................22
5.2.1 说明 ........................................................................................................................ 22
5.2.2 检查方法 ................................................................................................................ 22 5.2.3 修改建议 ................................................................................................................ 22
6 系统审计 ...................................................................................................................................... 23
6.1 安全日志记录配置 ........................................................................................................... 23
6.1.1 说明 ........................................................................................................................ 23
6.1.2 检查方法 ................................................................................................................ 23
6.1.3 修改建议 ................................................................................................................ 23
6.2 psacct 软件加固 ................................................................................................................. 23
6.2.1 说明 ........................................................................................................................ 23
6.2.2 检查方法 ................................................................................................................ 23
6.2.3 修改建议 ................................................................................................................ 23
6.3 swatch 软件加固 ................................................................................................................ 24
6.3.1 说明 ........................................................................................................................ 24
6.3.2 检查方法 ................................................................................................................ 24
6.3.3 安装方法 ................................................................................................................ 24
6.4 登录日志记录配置 ........................................................................................................... 24
6.4.1 说明 ........................................................................................................................ 24
6.4.2 检查方法 ................................................................................................................ 24
6.4.3 修改建议 ................................................................................................................ 24
6.5 audit 规则加固 ................................................................................................................... 25
6.5.1 说明 ........................................................................................................................ 25
6.5.2 检查方法 ................................................................................................................ 25
6.5.3 修改建议 ................................................................................................................ 25
7 内核参数 ...................................................................................................................................... 26
7.1 icmp 重定向报文未禁止 ................................................................................................... 26
7.1.1 说明 ........................................................................................................................ 26
7.1.2 检查方法 ................................................................................................................ 26
7.1.3 修改建议 ................................................................................................................ 26
7.2 发送重定向未禁止 ........................................................................................................... 27
7.2.1 说明 ........................................................................................................................ 27
7.2.2 检查方法 ................................................................................................................ 27
7.2.3 修改建议 ................................................................................................................ 27
7.3 icmp echo 请求广播未开启 ...............................................................................................28
7.3.1 说明 ........................................................................................................................ 28
7.3.2 检查方法 ................................................................................................................ 28
7.3.3 修改建议 ................................................................................................................ 28
7.4 icmp 源路由未禁止 ........................................................................................................... 28 7.4.1 说明 ........................................................................................................................ 28
7.4.2 检查方法 ................................................................................................................ 28
7.4.3 修改建议 ................................................................................................................ 29
7.5 数据包转发未禁止 ........................................................................................................... 29
7.5.1 说明 ........................................................................................................................ 29
7.5.2 检查方法 ................................................................................................................ 29
7.5.3 修改建议 ................................................................................................................ 29
8 安全网络 ...................................................................................................................................... 30
8.1 关闭 IP 绑定 ......................................................................................................................30
8.1.1 说明 ........................................................................................................................ 30
8.1.2 检查方法 ................................................................................................................ 30
8.1.3 修改建议 ................................................................................................................ 30
8.2 不允许对主机进行 IP 伪装 ..............................................................................................30
8.2.1 说明 ........................................................................................................................ 30
8.2.2 检查方法 ................................................................................................................ 30
8.2.3 修改建议 ................................................................................................................ 31
8.3 snmp 加固 ...........................................................................................................................31
8.3.1 说明 ........................................................................................................................ 31
8.3.2 检查方法 ................................................................................................................ 31
8.3.3 修改建议 ................................................................................................................ 31
9 系统命令 ...................................................................................................................................... 32
9.1 设置输出历史命令 ........................................................................................................... 32
9.1.1 说明 ........................................................................................................................ 32
9.1.2 检查方法 ................................................................................................................ 32
9.1.3 修改建议 ................................................................................................................ 32
9.2 设置记录历史命令 ........................................................................................................... 32
9.2.1 说明 ........................................................................................................................ 32
9.2.2 检查方法 ................................................................................................................ 32
9.2.3 修改建议 ................................................................................................................ 33
9.3 su 命令使用日志配置 ........................................................................................................33
9.3.1 说明 ........................................................................................................................ 33
9.3.2 检查方法 ................................................................................................................ 33
9.3.3 修改建议 ................................................................................................................ 33
10 潜在危险 .................................................................................................................................... 33
10.1 重命名 .netrc 文件 ........................................................................................................... 33 10.1.1 说明 ...................................................................................................................... 33
10.1.2 检查方法 .............................................................................................................. 33
10.1.3 修改建议 .............................................................................................................. 34
10.2 重命名 hosts.equiv 文件 ................................................................................................. 34
10.2.1 说明 ...................................................................................................................... 34
10.2.2 检查方法 .............................................................................................................. 34
10.2.3 修改建议 .............................................................................................................. 34
10.3 重命名 .rhosts 文件 ..........................................................................................................34
10.3.1 说明 ...................................................................................................................... 34
10.3.2 检查方法 .............................................................................................................. 34
10.3.3 修改建议 .............................................................................................................. 35
10.4 重命名 equiv 文件 .......................................................................................................... 35
10.4.1 说明 ...................................................................................................................... 35
10.4.2 检查方法 .............................................................................................................. 35
10.4.3 修改建议 .............................................................................................................. 35
10.5 重命名 rhosts 文件 ..........................................................................................................35
10.5.1 说明 ...................................................................................................................... 35
10.5.2 检查方法 .............................................................................................................. 35
10.5.3 修改建议 .............................................................................................................. 36
10.6 /etc/aliases 未禁用不必要的别名 ................................................................................... 36
10.6.1 说明 ...................................................................................................................... 36
10.6.2 检查方法 .............................................................................................................. 36
10.6.3 修改建议 .............................................................................................................. 36
10.7 /etc/mail/aliases 未禁用不必要的别名 ........................................................................... 37
10.7.1 说明 ...................................................................................................................... 37
10.7.2 检查方法 .............................................................................................................. 37
10.7.3 修改建议 .............................................................................................................. 37
10.8 判断 chkrootkit 是否安装 ...............................................................................................37
10.8.1 说明 ...................................................................................................................... 37
10.8.2 检查方法 .............................................................................................................. 37
10.8.3 安装方法 .............................................................................................................. 38
11 系统设置 .....................................................................................................................................38
11.1 su 命令的访问限制 ..........................................................................................................38
11.1.1 说明 ...................................................................................................................... 38
11.1.2 检查方法 .............................................................................................................. 38
11.1.3 修改建议 .............................................................................................................. 38
11.2 限制 core dump ............................................................................................................... 38 11.2.1 说明 ...................................................................................................................... 38
11.2.2 检查方法 .............................................................................................................. 39
11.2.3 修改建议 .............................................................................................................. 39
11.3 禁用 ctrl+alt+delete .........................................................................................................39
11.3.1 说明 ...................................................................................................................... 39
11.3.2 检查方法 .............................................................................................................. 39
11.3.3 修改建议 .............................................................................................................. 39
11.4 设置空闲锁屏时间 ......................................................................................................... 40
11.4.1 说明 ...................................................................................................................... 40
11.4.2 检查方法 .............................................................................................................. 40
11.4.3 修改建议 .............................................................................................................. 40
11.5 启用屏保 ..........................................................................................................................40
11.5.1 说明 ...................................................................................................................... 40
11.5.2 检查方法 .............................................................................................................. 40
11.5.3 修改建议 .............................................................................................................. 40
11.6 用户会话超时设置 ......................................................................................................... 41
11.6.1 说明 ...................................................................................................................... 41
11.6.2 检查方法 .............................................................................................................. 41
11.6.3 修改建议 .............................................................................................................. 41
11.7 grub 引导设置密码 .......................................................................................................... 41
11.7.1 说明 ...................................................................................................................... 41
11.7.2 检查方法 .............................................................................................................. 41
11.7.3 修改建议 .............................................................................................................. 41
12 文件权限 .................................................................................................................................... 42
12.1 默认用户 umask 027 或更严格 .................................................................................42
12.1.1 说明 ...................................................................................................................... 42
12.1.2 检查方法 .............................................................................................................. 42
12.1.3 修改建议 .............................................................................................................. 42
12.2 配置重要目录文件的权限 ............................................................................................. 43
12.2.1 说明 ...................................................................................................................... 43
12.2.2 目录文件 - 权限列表 .............................................................................................43
12.2.3 检查方法 .............................................................................................................. 43
12.2.4 修改建议 .............................................................................................................. 43
12.3 配置日志配置文件默认文件目录权限 .........................................................................43
12.3.1 说明 ...................................................................................................................... 43
12.3.2 检查方法 .............................................................................................................. 43
12.3.3 修改建议 .............................................................................................................. 44 12.4 日志文件权限加固 ......................................................................................................... 44
12.4.1 说明 ...................................................................................................................... 44
12.4.1 日志文件 .............................................................................................................. 44
12.4.2 检查方法 .............................................................................................................. 44
12.4.3 修改建议 .............................................................................................................. 44
12.5 配置 ftp 服务器 umask ................................................................................................... 45
12.5.1 说明 ...................................................................................................................... 45
12.5.2 检查方法 .............................................................................................................. 45
12.5.3 修改建议 .............................................................................................................. 45
12.6 配置 ftp 服务器用户访问权限 .......................................................................................45
12.6.1 说明 ...................................................................................................................... 45
12.6.2 检查方法 .............................................................................................................. 45
12.6.3 修改建议 .............................................................................................................. 45
13 磁盘检查 .................................................................................................................................... 46
13.1 系统磁盘扩容 ................................................................................................................. 46
13.1.1 说明 ...................................................................................................................... 46
13.1.2 检查方法 .............................................................................................................. 46
13.1.3 修改建议 .............................................................................................................. 46
13.2 tripwire 加固 .....................................................................................................................46
13.2.1 说明 ...................................................................................................................... 46
13.2.2 检查方法 .............................................................................................................. 46
13.2.3 修改建议 .............................................................................................................. 46
14 资源分配 .................................................................................................................................... 47
14.1 quota 加固 ........................................................................................................................ 47
14.1.1 说明 ...................................................................................................................... 47
14.1.2 检查方法 .............................................................................................................. 47
14.1.3 修改建议 .............................................................................................................. 47
14.2 cgroup 加固 ...................................................................................................................... 47
14.2.1 说明 ...................................................................................................................... 47
14.2.2 检查方法 .............................................................................................................. 47
14.2.3 修改建议 .............................................................................................................. 47
15 系统维护 .................................................................................................................................... 47
15.1 grub 维护模式设置 ..........................................................................................................47
15.1.1 说明 ...................................................................................................................... 47
15.1.2 检查方法 .............................................................................................................. 48 15.1.3 修改建议 .............................................................................................................. 48 1
1 安全服务
1.1 检查是否关闭不必要的服务和端口
1.1.1 说明
不必要的服务: printer sendmail nfs kshell lpd tftp ident time ntalk bootps
klogin ypbind daytime nfslock echo discard chargen
1.1.2 检查方法
验证是否未启用不必要的服务。运行以下命令并验证结果是否如所示
#systemctl list-unit-files 和使用 #chkconfig --list 查看服务
1.1.3 修改建议
1)
加固方法:
运行以下命令进行服务禁用:
#chkconfig < 服务名 > off
2)
还原方法:
运行以下命令将加固时设置为 off 的服务启用:
#chkconfig < 服务名 > on
1.2 检查是否禁用不必要的系统服务
1.2.1 说明
不必要的系统服务: chargen-dgram daytime-stream echo-streamklogin tcpmux-server
chargen-stream discard-dgram eklogin krb5-telnet tftp cvs discard-stream ekrb5-telnet
kshell time-dgram daytime-dgram echo-dgram gssftp rsync time-stream
1.2.2 检查方法
验证是否未启用不必要的服务。运行以下命令并验证结果是否如所示
#systemctl list-unit-files 和使用 #chkconfig --list 查看服务
1.2.3 修改建议
1)
加固方法:
运行以下命令进行服务禁用:
#chkconfig < 服务名 > off 2
2)
还原方法:
运行以下命令将加固时设置为 off 的服务启用:
#chkconfig < 服务名 > on
1.3 禁止匿名 WU-FTP 用户登录
1.3.1 说明
检查是否限制 FTP 用户登录后能访问的目录。
1.3.2 检查方法
检查编辑 /etc/ftpaccess 文件,查看是否包含参数 class
all
real,guest,anonymous *
这一行,包含则需要加固。
1.3.3 修改建议
1)
加固方法:
修改 /etc/ftpaccess 文件,找到“ class
all
real,guest,anonymous *” 把查找到的
在行首添加 “#” 进行注释,在注释行之后添加以下内容
class all real,guest *
2)
还原方法:
把加固时新增的行全部删除,再去掉查找到的“ class
all
real,guest,anonymous
*” 所在行 的行首的 “#”
1.4 禁止匿名 VSFTP 用户登录
1.4.1 说明
检查是否限制 FTP 用户登录后能访问的目录。
1.4.2 检查方法
检查编辑 /etc/vsftpd.conf 文件,参数“ anonymous_enable ”是否为“ NO ”。
1.4.3 修改建议
1)
加固方法:
/etc/vsftpd.conf 文件中找到“ anonymous_enable ”所在行,
在行首添加 “#” 进行注释,在注释行之后添加以下内容
anonymous_enable=NO
2)
还原方法: 3
把加固时新增的行全部删除,再去掉查找到的“ anonymous_enable ”所在行 的行首
“#”
1.5 开启 ssh 服务
1.5.1 说明
对于使用 IP 协议进行远程维护的设备 , 应配置使用 SSH 协议。
1.5.2 检查方法
使用以下命令验证是否开启了 ssh 服务
#systemctl status sshd
1.5.3 修改建议
1)
加固方法:
如果未开启服务,使用以下命令进行加固:
#systemctl enable sshd
#systemctl restart sshd
2)
还原方法:
如果原始服务状态没有开启
#systemctl stop sshd
#systemctl disable sshd
1.6 禁用 telnet 服务
1.6.1 说明
对于使用 IP 协议进行远程维护的设备 , 应禁止使用 telnet 协议。
1.6.2 检查方法
使用以下命令验证是否开启了 telnet 服务
#systemctl status telnet.socket
1.6.3 修改建议
1)
加固方法:
如果安装 telnet 服务软件,服务开启,使用以下命令进行加固:
#systemctl disable telnet.socket
#systemctl stop telnet.socket 4
2)
还原方法:
如果安装 telnet 服务软件,原始服务开启,使用以下命令进行还原:
#systemctl enable telnet.socket
#systemctl start telnet.socket
1.7 禁止 root 登录 VSFTP
1.7.1 说明
检查是否禁止 root 用户登录 FTP
1.7.2 检查方法
运行以下命令并验证是否安装了 vsftpd
#rpm -qa |grep vsftpd
运行以下命令并验证是否禁用了 root 登录
#cat /etc/vsftpd/ftpusers|grep -w root
#cat /etc/vsftpd/user_list|grep -w root
1.7.3 修改建议
1)
加固方法:
运行以下命令进行加固
#echo “root” >> /etc/vsftpd/ftpusers
2)
还原方法:
/etc/vsftpd/ftpusers 文件中删除 root
1.8 禁止 root 登录 WU-FTP
1.8.1 说明
检查是否禁止 root 用户登录 FTP
1.8.2 检查方法
运行以下命令并验证是否安装了 wu-ftp
#rpm -qa |grep wu-ftp
运行以下命令并验证是否禁用了 root 登录
#cat /etc/ftpusers|grep -w root 5
1.8.3 修改建议
1)
加固方法:
运行以下命令进行加固
#echo “root” >>/etc/ftpusers
2)
还原方法:
/etc/ftpusers 文件中删除指定 root
1.9 SSH 登录前 banner 设置
1.9.1 说明
检查是否设置 ssh 登录前警告 Banner
1.9.2 检查方法
运行以下命令并验证输出是否匹配:
1.# grep "^Banner" /etc/ssh/sshd_config ,找不到则需加固
2. 如果存在,查看 banner 对应的 /etc/issue.net 文件中是否包含 " Authorized only. All
activity will be monitored and reported " ,不包含则需加固
1.9.3 修改建议
1)
加固方法:
i 、编辑 /etc/ssh/sshd_config ,如下设置参数:
Banner /etc/issue.net
ii 、创建 banner 对应的 /etc/issue.net 文件并设置相关警告信息
#touch /etc/ issue.net
#chmod 644 /etc/ issue.net
#echo " Authorized only. All activity will be monitored and reported " > /etc/ issue.net
2)
还原方法:
i 、 如果文件不存在 /etc/ issue.net 信息文件:
#rm /etc/telnet_banner
ii 、如果文件存在,在 /etc/ issue.net 删除如下信息:
# Authorized only. All activity will be monitored and reported 6
1.10 检查是否设置 ssh 成功登录后 Banner
1.10.1 说明
检查是否设置 ssh 成功登录后 Banner
1.10.2 检查方法
运行以下命令并验证输出是否匹配:
1.# grep "pam_motd.so" /etc/pam.d/sshd|grep "session"|grep "optional"
2. 查看 /etc/motd 是否存在,若不存在则需加固
3. /etc/motd 存在,查看文件中是否包含 " Login success. All activity will be monitored
and reported. " ,不包含则需加固
1.10.3 修改建议
1)
加固方法:
i 、编辑 /etc/pam.d/sshd ,如下设置参数:
session optional pam_motd.so
ii 、在 /etc/motd 添加信息
#touch /etc/motd
#chmod 644 /etc/motd
#echo " Login success. All activity will be monitored and reported. " >
/etc/motd
2)
还原方法:
i 、 删除 /etc/pam.d/sshd 对应行 session optional pam_motd.so
ii 、 如果没有 motd 文件还原删除 rm /etc/motd
iii 、 如果文件存在,则在 /etc/motd 删除信息 " Login success. All activity will
be monitored and reported. "
1.11 检查 telnet Banner 设置
1.11.1 说明
检查是否设置 telnet 登录前警告 Banner
1.11.2 检查方法
运行以下命令并验证输出是否匹配: 7
#find /etc/issue.net
1.11.3 修改建议
1)
加固方法:
i 、 执行如下命令创建 /etc/ issue.net 信息文件:
#touch /etc/ issue.net
#chmod 644 /etc/ issue.net
#echo " Authorized only. All activity will be monitored and reported " > /etc/ issue.net
2)
还原方法:
i 、 如果文件不存在 /etc/ issue.net 信息文件:
#rm /etc/ issue.net
ii 、 如果文件存在,在 /etc/ issue.net 删除如下信息: " Authorized only. All activity will
be monitored and reported "
1.12 telnet 登录后的信息设置
1.12.1 说明
检查是否设置 telnet 成功登录后 Banner
1.12.2 检查方法
运行以下命令并验证输出是否匹配:
#find /etc/motd
1.12.3 修改建议
1)
加固方法:
i 、如果没有 motd 文件创建 motd 文件:
#touch /etc/motd
ii 、如果文件一直存在,在 /etc/motd 删除如下信息:
# Login success. All activity will be monitored and reported.
2)
还原方法:
i 、如果没有 motd 文件还原删除 motd 文件:
#rm /etc/motd
ii 、如果文件存在,在 /etc/motd 删除如下信息:
# Login success. All activity will be monitored and reported. 8
1.13 Telnet 未禁用 root 登录
1.13.1 说明
检查系统 telnet 安全配置。
1.13.2 检查方法
2 telnet 服务验证方法
运行以下命令并验证输出是否配置 pam_succeed_if.so
#grep pam_succeed_if /etc/pam.d/remote
auth requisite pam_succeed_if.so user != root
1.13.3 修改建议
1)
加固方法:
i 、编辑 /etc/pam.d/remote, 添加如下:
auth requisite pam_succeed_if.so user !=root
2)
还原方法:
找到添加行删除 auth requisite pam_succeed_if.so user !=root
1.14 SSH 未禁用 root 登录
1.14.1 说明
检查系统 openssh 安全配置。
1.14.2 检查方法
1 ssh 验证方法
运行以下命令并验证输出是否匹配
# grep "^PermitRootLogin" /etc/ssh/sshd_config
PermitRootLogin no
1.14.3 修改建议
3)
加固方法:
i 、编辑 /etc/ssh/sshd_config ,找到 PermitRootLogin 所在行, 在行首添加 “#” 进行注
释,在注释行之后添加以下内容:
PermitRootLogin no
ii 、重启 ssh 服务 9
systemctl restart sshd
4)
还原方法:
i 、把加固时新增的行全部删除,再去掉查找到的 PermitRootLogin 所在行 的行首的
“#”
ii 、重启 ssh 服务
systemctl restart sshd
1.15 SSH 未设置安全协议
1.15.1 说明
检查系统 openssh 安全配置。
1.15.2 检查方法
运行以下命令并验证输出是否匹配:
# grep "^Protocol" /etc/ssh/sshd_config
Protocol 2
1.15.3 修改建议
1)
加固方法:
编辑 /etc/ssh/sshd_config ,找到 Protocol 所在行, 在行首添加 “#” 进行注释,在注释
行之后添加以下内容:
Protocol 2
2)
还原方法:
把加固时新增的行全部删除,再去掉查找到的 Protocol 所在行 的行首的 “#”
1.16 SSH 日志等级未加固
1.16.1 说明
检查系统 openssh 安全配置。
1.16.2 检查方法
运行以下命令并验证输出是否匹配
# grep "^LogLevel" /etc/ssh/sshd_config
LogLevel INFO 10
1.16.3 修改建议
1)
加固方法:
编辑 /etc/ssh/sshd_config ,找到 LogLevel 所在行, 在行首添加 “#” 进行注释,在注
释行之后添加以下内容 :
LogLevel INFO
2)
还原方法:
把加固时新增的行全部删除,再去掉查找到的 LogLevel 所在行 的行首的 “#”
1.17 SSH 失败尝试次数未配置
1.17.1 说明
检查系统 openssh 安全配置。
1.17.2 检查方法
运行以下命令并验证输出 MaxAuthTries 是否小于或等于 4
# grep "^MaxAuthTries" /etc/ssh/sshd_config
MaxAuthTries 4
1.17.3 修改建议
1)
加固方法:
编辑 /etc/ssh/sshd_config ,找到 MaxAuthTries 所在行, 在行首添加 “#” 进行注释,在
注释行之后添加以下内容 :
MaxAuthTries 4
2)
还原方法:
把加固时新增的行全部删除,再去掉查找到的 MaxAuthTries 所在行 的行首的 “#”
1.18 SSH 未禁用空密码用户登录
1.18.1 说明
检查系统 openssh 安全配置。
1.18.2 检查方法
运行以下命令并验证输出是否匹配
# grep "^PermitEmptyPasswords" /etc/ssh/sshd_config 11
PermitEmptyPasswords no
1.18.3 修改建议
1)
加固方法:
编辑 /etc/ssh/sshd_config ,找到 PermitEmptyPasswords 所在行, 在行首添加 “#” 进行
注释,在注释行之后添加以下内容 :
PermitEmptyPasswords no
2)
还原方法:
把加固时新增的行全部删除,再去掉查找到的 PermitEmptyPasswords 所在行 的行
首的 “#”
1.19 SSH 未禁用环境处理
1.19.1 说明
检查系统 openssh 安全配置。
1.19.2 检查方法
运行以下命令并验证输出是否匹配:
# grep PermitUserEnvironment /etc/ssh/sshd_config
PermitUserEnvironment no
1.19.3 修改建议
1)
加固方法:
编辑 /etc/ssh/sshd_config ,找到 PermitUserEnvironment 所在行, 在行首添加 “#” 进行
注释,在注释行之后添加以下内容 :
PermitUserEnvironment no
2)
还原方法:
把加固时新增的行全部删除,再去掉查找到的行 PermitUserEnvironment 所在
首的 “#”
1.20 SSH 强加密算法未开启
1.20.1 说明
检查系统 openssh 安全配置。 12
1.20.2 检查方法
nmap --script ssh2-enum-algos -sV -p 22 ip (测试目标的 ip 地址 )
encryption_algorithms: (6)
|
aes128-ctr
|
aes192-ctr
|
aes256-ctr
|
aes128-cbc
|
3des-cbc
|
arcfour128
1.20.3 修改建议
1)
加固方法:
编辑 /etc/ssh/sshd_config ,添加如下行:
Ciphers aes128-ctr,aes192-ctr,aes256-ctr,aes128-cbc
2)
还原方法:
编辑 /etc/ssh/sshd_config ,删除如下行:
Ciphers aes128-ctr,aes192-ctr,aes256-ctr,aes128-cbc
2 风险账户
2.1 空口令账号加固
2.1.1 说明
检查是否存在空口令账号,对存在的空口令账号加固,可防止系统被黑客所创建的账户
登录或遭到黑客暴力破解。
2.1.2 检查方法
检查 /etc/shadow ,查看 uid 大于 1000 secadm auditadm 是否存在空密码。
2.1.3 修改建议
1)
加固方法:
运行以下命令进行加固并提示用户进行密码设置
# usermod -L < 用户名 >
2)
还原方法:
对之前加固的用户调用 " usermod -U < 用户名 >" 解除锁定。 13
2.2 系统账号登录限制
2.2.1 说明
检查是否对系统账号进行登录限制。
2.2.2 检查方法
检查 /etc/passwd ,查看 uid 小于 1000 ,且非 root secadm auditadm 用户是否设置为
/sbin/halt /sbin/nologin
2.2.3 修改建议
1)
加固方法:
对上面检查发现不符合的用户运行以下命令进行加固
# usermod -s /sbin/nologin < 用户名 >
2)
还原方法:
对之前加固的用户使用命令 usermod -s /bin/bash 重新设置参数。
2.3 加固 uid 0 root 之外的帐户
2.3.1 说明
检查是否设置除 root 之外 UID 0 的用户。
2.3.2 检查方法
运行以下命令并确认仅返回“ root ”:
# cat /etc/passwd | awk -F: '($3 == 0) { print $1 }'
root
2.3.3 修改建议
1)
加固方法:
使用一下命令禁用具有 UID 0 root 用户以外的任何用户
# usermod -L < 用户名 >
2)
还原方法:
对之前加固的用户,调用 " usermod -U < 用户名 >" 解除锁定。 14
2.4 锁定与设备运行和维护无关的账户
2.4.1 说明
检查是否删除与设备运行、维护等工作无关的账号。
2.4.2 检查方法
检查 /etc/shadow 中是否存在用户( adm lp mail uucp operator games gopher ftp
nobody nobody4 noaccess listen webservd rpm dbus avahi mailnull smmsp nscd
vcsa rpc rpcuser nfs sshd pcap ntp haldaemon distcache apache webalizer squid
xfs gdm sabayon named )且未锁定。
2.4.3 修改建议
1)
加固方法:
运行以下命令进行用户锁定:
# usermod -L < 用户名 >
2)
还原方法:
对之前加固的用户,调用 "passwd -u -f < 用户名 >" 解除锁定
3 密码强度
3.1 系统开启密码复杂度策略
3.1.1 说明
检查设备是否开启密码复杂度策略(密码强度功能、密码禁止包含用户名功能、密码回
文检查功能、密码相似性检查功能、密码字典检查功能)功能。
3.1.2 检查方法
1 、运行以下命令,并验证是否开启密码强度功能,配置则符合
#grep “pam_pwquality” /etc/pam.d/system-auth|grep enforce_for_root
password requisite pam_pwquality.so try_first_pass local_user_only enforce_for_root
2 、 当 发 现 步 骤 1 配 置 了 pam_pwquality 且 包 含 参 数 enforce_for_root 时 , 检 查
/etc/security/pwquality.conf 中参数“ palindromic ”是否未屏蔽,未屏蔽则符合
3 、 当 发 现 步 骤 1 配 置 了 pam_pwquality 且 包 含 参 数 enforce_for_root 时 , 检 查
/etc/security/pwquality.conf 中参数“ usercheck ”是否为“ 1 1 符合, 0 不符合,屏蔽也不符
15
4 、 当 发 现 步 骤 1 配 置 了 pam_pwquality 且 包 含 参 数 enforce_for_root 时 , 检 查
/etc/security/pwquality.conf 中参数“ no_similar_check ”是否屏蔽,屏蔽则符合
5 、 当 发 现 步 骤 1 配 置 了 pam_pwquality 且 包 含 参 数 enforce_for_root 时 , 检 查
/etc/security/pwquality.conf 中参数““ dictcheck ”是否为“ 1 1 符合, 0 不符合 , 屏蔽也不符
3.1.3 修改建议
1)
加固方法:
i 、在 /etc/pam.d/system-auth 中找到对应行,然后在后面增加字段 enforce_for_root
password requisite pam_pwquality.so try_first_pass local_user_only enforce_for_root
iii 、 在 /etc/security/pwquality.conf 中把查找到的行 在行首添加 “#” 进行注释,在注
释行之后添加以下内容:
dictcheck=1
usercheck=1
palindromic
#no_similar_check
// 屏蔽 no_similar_check
2)
还原方法:
i 、 在 /etc/pam.d/system-auth 中找到对应行,删除字段 enforce_for_root
password requisite pam_pwquality.so try_first_pass local_user_only
ii 、 把加固时新增的行全部删除,去掉查找到的行 的行首的 “#”
3.2 系统密码复杂度配置
3.2.1 说明
检查设备密码复杂度策略。
3.2.2 检查方法
检查 /etc/security/pwquality.conf 中参数“ ucredit dcredit ocredit lcredit ”,未屏蔽且
值是否为“ -1 ”以下则符合。
3.2.3 修改建议
1)
加固方法:
i 、在 /etc/security/pwquality.conf 中把查找到的行 在行首添加 “#” 进行注释,在注释行之
后添加以下内容
dcredit=-1 16
ucredit=-1
ocredit=-1
lcredit=-1
2)
还原方法:
把加固时新增的行全部删除,再去掉查找到的行 的行首的 “#”
3.3 口令生命周期加固
3.3.1 说明
检查是否设置口令生存周期。
3.3.2 检查方法
1 、运行以下命令并验证 PASS_MAX_DAYS 是否符合站点策略( 90 :
# grep PASS_MAX_DAYS /etc/login.defs
2 chage -l < 用户名 > 查看有效期是否为 90 以内,包括 90
# chage -l <user>
两次改变密码之间相距的最大天数
99999
记下这一行两次改变密码之间相距的最大天数
99999 中数值。
3.3.3 修改建议
1)
加固方法:
1. /etc/login.defs 中将查找到的行 在行首添加 “#” 进行注释,在注释行之后添加以
下内容
PASS_MAX_DAYS 90
2.# chage --maxdays 90 <user>
2)
还原方法:
i. 把新增的行全部删除,再去掉查找到的行 的行首的 “#”
ii. 先取得检查方法中 chage -l 获取的用户密码最大有效期时间,调用 chage
--maxdays 命令重新设置时间。
3.4 口令最小长度加固
3.4.1 说明
检查口令最小长度。 17
3.4.2 检查方法
运行命令验证 /etc/security/pwquality.conf 的参数 minlen 是否为 8 8 位以上,且未屏
蔽。
3.4.3 修改建议
1)
加固方法:
/etc/security/pwquality.conf 中把查找到的行 在行首添加 “#” 进行注释,在注释行之后
添加以下内容
minlen=8
2)
还原方法:
把加固时新增的行全部删除,再去掉查找到的行 的行首的 “#”
3.5 口令更改最短间隔设置
3.5.1 说明
检查是否设置口令更改最小间隔天数。
3.5.2 检查方法
1. 运行以下命令并验证 PASS_MIN_DAYS 是否为 7 天或 7 天以上:
# grep PASS_MIN_DAYS /etc/login.defs
PASS_MIN_DAYS 7
2 chage -l < 用户名 > 查看有效期是否为 90 以内,包括 90
# chage -l <user>
两次改变密码之间相距的最小天数
0
记下这一行在两次改变密码之间相距的最小天数
0 中数值。
3.5.3 修改建议
1)
加固方法:
1. /etc/login.defs 中将查找到的行 在行首添加 “#” 进行注释,在注释行之后添加以
下内容
PASS_MIN_DAYS 7
2. 修改密码设置为匹配的所有用户的用户参数
# chage --mindays 7 <user>
2)
还原方法: 18
i. 把加固时新增的行全部删除,再去掉查找到的行 的行首的 “#”
ii. 先取得检查方法中 chage -l 获取的用户最小有效时间,调用 chage -- mindays 命令
重新设置时间。
3.6 口令过期前警告天数设置
3.6.1 说明
检查是否设置口令过期前警告天数。
3.6.2 检查方法
1. 运行以下命令并验证 PASS_WARN_AGE 是否为 7 或更长:
# grep PASS_WARN_AGE /etc/login.defs
PASS_WARN_AGE 30
2 chage -l < 用户名 > 查看有效期是否为 90 以内,包括 90
# chage -l <user>
在密码过期之前警告的天数 : 7
记下这一行在密码过期之前警告的天数
7 中数值。
3.6.3 修改建议
1)
加固方法:
1 .在 /etc/login.defs 中将查找到的行 在行首添加 “#” 进行注释,在注释行之后添加
以下内容
PASS_WARN_AGE 30
2. 修改密码设置为匹配的所有用户的用户参数
# chage --warndays 30 <user>
2)
还原方法:
i. 把加固时新增的行全部删除,再去掉查找到的行 的行首的 “#”
ii. 先取得检查方法中 chage -l 获取的用户密码告警天数,调用 chage --warndays
令重新设置时间。
3.7 检查密码重复使用次数限制
3.7.1 说明
检查密码重复使用次数限制。 19
3.7.2 检查方法
运行以下命令,并确保“ remember ”选项为“ 5 ”或更多并包含在所有结果中:
# egrep "pam_pwhistory.so" /etc/pam.d/system-auth|grep password|grep remember
3.7.3 修改建议
1)
加固方法:
编 辑 /etc/pam.d/system-auth , 找 到 类 似 行 password
requisite
pam_pwquality.so try_first_pass local_users_only ,在下一行添加密码历史策略:
password requisite pam_pwhistory.so remember=5 enforce_for_root
2)
还原方法:
编辑 /etc/pam.d/system-auth ,删除改行 password requisite pam_pwhistory.so remember=5
enforce_for_root
4 账户锁定
4.1 口令失败尝试锁定功能开启
4.1.1 说明
检查账户认证失败次数限制。
4.1.2 检查方法
执行以下操作以确定用户锁定的当前设置, deny 小于等于 5 次,锁定时间大于等于 600
秒算符合
# grep "pam_faillock" /etc/pam.d/system-auth|grep deny|grep unlock_time
4.1.3 修改建议
1)
加固方法:
把查找到的行 在行首添加 “#” 进行注释,在注释行之后添加以下内容
i 、编辑 /etc/pam.d/system-auth 修改为如下策略
auth required pam_faillock.so preauth audit deny=5 even_deny_root unlock_time=600
auth [default=die] pam_faillock.so authfail audit deny=5 even_deny_root
unlock_time=600
auth sufficient pam_faillock.so authsucc audit deny=5 even_deny_root
unlock_time=600
ii 、编辑 /etc/pam.d/password-auth 修改为如下策略 20
auth required pam_faillock.so preauth audit deny=5 even_deny_root unlock_time=600
auth [default=die] pam_faillock.so authfail audit deny=5 even_deny_root
unlock_time=600
auth sufficient pam_faillock.so authsucc audit deny=5 even_deny_root
unlock_time=600
2)
还原方法:
把加固时新增的行全部删除,再去掉查找到的行 的行首的 “#”
4.2 配置口令失败尝试锁定
4.2.1 说明
检查是否配置 SSH 方式账户认证失败次数限制。
4.2.2 检查方法
执行以下操作以确定用户锁定的当前设置, deny 小于等于 5 次,锁定时间大于等于 600
秒算符合
# grep "pam_faillock" /etc/pam.d/system-auth|grep deny|grep unlock_time
4.2.3 修改建议
1)
加固方法:
把查找到的行 在行首添加 “#” 进行注释,在注释行之后添加以下内容
i 、编辑 /etc/pam.d/system-auth 修改为如下策略
auth required pam_faillock.so preauth audit deny=5 even_deny_root unlock_time=600
auth [default=die] pam_faillock.so authfail audit deny=5 even_deny_root
unlock_time=600
auth sufficient pam_faillock.so authsucc audit deny=5 even_deny_root
unlock_time=600
ii 、编辑 /etc/pam.d/password-auth 修改为如下策略
auth required pam_faillock.so preauth audit deny=5 even_deny_root unlock_time=600
auth [default=die] pam_faillock.so authfail audit deny=5 even_deny_root
unlock_time=600
auth sufficient pam_faillock.so authsucc audit deny=5 even_deny_root
unlock_time=600
2)
还原方法:
把加固时新增的行全部删除,再去掉查找到的行 的行首的 “#” 21
5 系统安全
5.1 开启系统安全功能
5.1.1 说明
检查系统安全功能是否开启。
5.1.2 检查方法
针对银河麒麟高级服务器 V10SP3
1 、查看安全模式,模式为 strict 为符合
#security-switch --get
2 、查看 box 是否开启,状态 on 为符合
#getstatus -m box
针对银河麒麟高级服务器 V10SP1 V10SP2
1 .查看安全模式,模式为 strict 为符合
使用 #security-switch –get
并记录操作前的系统安全状态
2 .查看 box 是否开启,值 1 为符合
#cat /sys/kernel/security/box/status
SP1&SP2 通过读取 grub 文件中的参数获取 box 状态; SP3 通过 getstatus -m box 获取状
5.1.3 修改建议
1)
针对银河麒麟高级服务器 V10SP3 加固方法:
i 、当模式不是 strict 时,执行以下命令开启 strict 模式
#security-switch --set strict
ii 、当 box 未开启时,使用如下命令进行加固
#setstatus box -s enable
2)
针对银河麒麟高级服务器 V10SP1 V10SP2 加固方法:
i 、当模式不是 strict 时,执行以下命令开启 strict 模式
#security-switch --set strict
ii 、当 box 未开启时,在 /boot/grub2/grub.cfg security=kysec 后加入 box , 如下:
linux
/vmlinuz-4.19.90-25.9.v2101.ky10.x86_64
root=/dev/mapper/klas-root
ro
resume=/dev/mapper/klas-swap rd.lvm.lv=klas/root rd.lvm.lv=klas/swap rhgb quiet
crashkernel=1024M,high security=kysec,box kysec_status=2 22
3)
还原方法:
使用命令 security-switch --set 重新设置安全状态; SP1&SP2 通过修改 grub 文件参
数设置 box 状态; SP3 通过 setstatus box -s XX 设置 box 状态。
5.2 firewalld 加固
5.2.1 说明
应按 GB/T 20271 2006 中5 . . 5a)会话建立机制的要求,根据访问地址或端口,允
许或拒绝用户的登录。鉴别机制不准许被旁路。
系统应提供一种机制,按时间、进入方式、地点、网络地址或端口等条件规定哪些用户
能进入系统。
5.2.2 检查方法
1 、运行以下命令并验证 firewalld 是否运行
#firewall-cmd --state
2 、如 firewalld 已运行,则运行以下命令查看默认模式是否设置了规则,主要是查看 ports
services protocols forward-ports source-ports icmp-blocks rich rules 等是否存在规则,
如果为空则无规则。
#firewall-cmd --list-all
5.2.3 修改建议
1)
手动加固方法:
i 、如果 firewalld 未运行,使用如下命令进行加固 , 如已运行则直接进行第二步
#systemctl enable firewalld
#systemctl restart firewalld
ii 、使用如下命令查看是否设置了规则,如未设置规则则提示用户手动添加规则:
#firewall-cmd --list-all
2)
手动还原方法:
i 、如果 firewalld 已运行,使用如下命令进行加固 , 如已运行则直接进行第二步
#systemctl disable firewalld
#systemctl stop firewalld
ii 、使用如下命令查看是否设置了规则,如已设置规则则提示用户手动删除规则:
#firewall-cmd --remove 。删除完即恢复 23
6 系统审计
6.1 安全日志记录配置
6.1.1 说明
检查安全事件日志配置。
6.1.2 检查方法
1 、存在 /etc/rsyslog.conf ,查看相关文件是否配置了 *.err kern.debug daemon.notice
信息。
6.1.3 修改建议
1)
加固方法:
i 、存在 /etc/rsyslog.conf ,在相关文件中配置添加如下行:
*.err;kern.debug;daemon.notice /var/adm/messages
2)
还原方法:
删除加固时添加的行。
6.2 psacct 软件加固
6.2.1 说明
检查是否记录用户对设备的操作。
6.2.2 检查方法
1 、运行以下命令检查是否安装了 psacct 软件
#rpm -qa |grep psacct
2 、查看 psacct 服务是否开启,开启无需加固。
#systemctl status psacct
6.2.3 修改建议
1)
加固方法:
i 、 未安装提示用户安装 psacct 软件。
ii 、 安装后,查看服务状态。服务启动无需加固
2)
还原方法
i 、 如果服务未开启,恢复到服务之前状态。 24
ii 、 如果用户手动安装 psacct 包,则不会卸载。
6.3 swatch 软件加固
6.3.1 说明
审计日志分析软件 swatch 未安装,建议安装。
6.3.2 检查方法
1 、运行以下命令检查是否安装了 swatch 软件
#rpm -qa |grep swatch
6.3.3 安装方法
1 、运行以下命令安装 swatch 软件
#yum install swatch
6.4 登录日志记录配置
6.4.1 说明
检查是否对登录进行日志记录。
6.4.2 检查方法
1 、检查是否存在 /var/log/wtmp,/var/run/utmp 文件。
6.4.3 修改建议
3)
加固方法:
i 、使用如下命令创建相关文件:
#touch /var/log/wtmp
#touch /var/run/utmp
4)
还原方法:
删除文件
#rm /var/log/wtmp
#rm /var/run/utmp 25
6.5 audit 规则加固
6.5.1 说明
1 、身份鉴别、自主访问控制、标记和强制访问控制等安全功能的使用
2 、创建、删除客体的操作
3 、所有管理员的操作
4 、每条审计记录应包括:事件类型、事件发生的日期和时间、触发事件的用户、事件
成功或失败等字段
5 、创建和删除客体的事件审计记录还应包括客体的名字、客体的安全属性
6 、网络会话事件审计记录还应包括:网络程序名称、协议类型、源IP地址、目的I
P地址、源端口、目的端口、会话总字节数等字段。
6.5.2 检查方法
1 、先在 grub 中加上 audit=1 ,保证内核的审计功能已打开
2 、运行以下命令并验证 auditd 是否运行
#systemctl status auditd
3 、运行如 auditd 已运行,则运行以下命令查看是否设置了规则,
#auditctl -l
6.5.3 修改建议
1)
加固方法:
i 、如果 auditd 未运行,使用如下命令进行加固 , 如已运行则直接进行第二步
#systemctl enable auditd
#systemctl restart auditd
ii 、使用如下命令查看是否设置了规则(输出未空则未添加规则),如未设置规则
则提示用户添加规则:
#auditctl -l
iii 、 设置审计规则
auditctl -w /tmp/file1 -k file
// 监控 file1 文件的 arwx
auditctl -a exit,always -F arch=b64 -S execve -F uid=0 // 监控 root 用户下的系统调
execve
2)
还原方法:
i 、如果加固前 auditd 未运行,使用如下命令进行还原,如已运行则直接进行第二
#systemctl disable auditd
#systemctl stpo auditd 26
ii 、使用如下命令查看是否设置了规则
#auditctl -l
iii 、删除规则(加固时设置的规则)
#auditctl -D // 删除 auditctl -l 查出的所有规则
#auditctl -d always,exit -F arch=b64 -S execve -F uid=0 // 删除监控 root 用户下的系
统调用 execve 规则
7 内核参数
7.1 icmp 重定向报文未禁止
7.1.1 说明
检查系统内核参数配置,是否禁止 icmp 重定向报文。
7.1.2 检查方法
1 、运行以下命令并验证输出是否匹配:
# sysctl net.ipv4.conf.all.accept_redirects
net.ipv4.conf.all.accept_redirects = 0
# sysctl net.ipv4.conf.default.accept_redirects
net.ipv4.conf.default.accept_redirects = 0
# grep "net\.ipv4\.conf\.all\.accept_redirects" /etc/sysctl.conf
net.ipv4.conf.all.accept_redirects= 0
# grep "net\.ipv4\.conf\.default\.accept_redirects" /etc/sysctl.conf
net.ipv4.conf.default.accept_redirects= 0
7.1.3 修改建议
1)
加固方法:
i 、 在 /etc/sysctl.conf 文件中把查找到的行 在行首添加 “#” 进行注释,在注释行之后添
加以下内容
net.ipv4.conf.all.accept_redirects = 0
net.ipv4.conf.default.accept_redirects = 0
ii 、 运行以下命令以载入 sysctl 配置文件,并设置活动内核参数:
# sysctl -p
2)
还原方法:
i 、 把加固时新增的行全部删除,再去掉查找到的行 的行首的 “#”
ii 、 运行以下命令以载入 sysctl 配置文件,并设置活动内核参数: 27
# sysctl -p
7.2 发送重定向未禁止
7.2.1 说明
检查系统内核参数配置,检查 send_redirects 配置。
7.2.2 检查方法
1 、运行以下命令并验证输出是否匹配
# sysctl net.ipv4.conf.all.send_redirects
net.ipv4.conf.all.send_redirects = 0
# sysctl net.ipv4.conf.default.send_redirects
net.ipv4.conf.default.send_redirects = 0
# grep "net\.ipv4\.conf\.all\.send_redirects" /etc/sysctl.conf
net.ipv4.conf.all.send_redirects = 0
# grep "net\.ipv4\.conf\.default\.send_redirects" /etc/sysctl.conf
net.ipv4.conf.default.send_redirects= 0
7.2.3 修改建议
1)
加固方法:
i 、 在 /etc/sysctl.conf 文件中把查找到的行 在行首添加 “#” 进行注释,在注释行之后添
加以下内容
net.ipv4.conf.all.send_redirects = 0
net.ipv4.conf.default.send_redirects = 0
ii 、 运行以下命令以载入 sysctl 配置文件,并设置活动内核参数:
# sysctl -p
2)
还原方法:
i 、 把加固时新增的行全部删除,再去掉查找到的行 的行首的 “#”
ii 、 运行以下命令以载入 sysctl 配置文件,并设置活动内核参数:
# sysctl -p 28
7.3 icmp echo 请求广播未开启
7.3.1 说明
检查系统内核参数配置,检查 icmp_echo_ignore_broadcasts 配置。
7.3.2 检查方法
1 、运行以下命令并验证输出是否匹配
# sysctl net.ipv4.icmp_echo_ignore_broadcasts
net.ipv4.icmp_echo_ignore_broadcasts = 1
# grep "net\.ipv4\.icmp_echo_ignore_broadcasts" /etc/sysctl.conf
net.ipv4.icmp_echo_ignore_broadcasts = 1
7.3.3 修改建议
1)
加固方法:
i 、 在 /etc/sysctl.conf 文件中把查找到的行 在行首添加 “#” 进行注释,在注释行之后添
加以下内容
net.ipv4.icmp_echo_ignore_broadcasts = 1
ii 、 运行以下命令以载入 sysctl 配置文件,并设置活动内核参数:
# sysctl -p
2)
还原方法:
i 、 把加固时新增的行全部删除,再去掉查找到的行 的行首的 “#”
ii 、 运行以下命令以载入 sysctl 配置文件,并设置活动内核参数:
# sysctl -p
7.4 icmp 源路由未禁止
7.4.1 说明
检查系统内核参数配置,是否禁止 icmp 源路由。
7.4.2 检查方法
1 、运行以下命令并验证输出是否匹配:
# sysctl net.ipv4.conf.all.accept_source_route
net.ipv4.conf.all.accept_source_route = 0
# sysctl net.ipv4.conf.default.accept_source_route
net.ipv4.conf.default.accept_source_route = 0 29
# grep "net\.ipv4\.conf\.all\.accept_source_route" /etc/sysctl.conf
net.ipv4.conf.all.accept_source_route= 0
#grep "net\.ipv4\.conf\.default\.accept_source_route" /etc/sysctl.conf
net.ipv4.conf.default.accept_source_route= 0
7.4.3 修改建议
1)
加固方法:
i 、 在 /etc/sysctl.conf 文件中把查找到的行 在行首添加 “#” 进行注释,在注释行之后添
加以下内容
net.ipv4.conf.all.accept_source_route = 0
net.ipv4.conf.default.accept_source_route = 0
ii 、 运行以下命令以载入 sysctl 配置文件,并设置活动内核参数:
# sysctl -p
2)
还原方法:
i 、 把加固时新增的行全部删除,再去掉查找到的行 的行首的 “#”
ii 、 运行以下命令以载入 sysctl 配置文件,并设置活动内核参数:
# sysctl -p
7.5 数据包转发未禁止
7.5.1 说明
检查系统内核参数配置,检查 ip_forward 配置。
7.5.2 检查方法
运行以下命令并验证输出是否匹配:
# sysctl net.ipv4.ip_forward
net.ipv4.ip_forward = 0
# grep "net\.ipv4\.ip_forward" /etc/sysctl.conf
net.ipv4.ip_forward = 0
7.5.3 修改建议
1)
加固方法:
i 、 在 /etc/sysctl.conf 文件中把查找到的行 在行首添加 “#” 进行注释,在注释行之后添
加以下内容
net.ipv4.ip_forward = 0 30
ii 、 运行以下命令以载入 sysctl 配置文件,并设置活动内核参数:
# sysctl -p
2)
还原方法:
i 、 把加固时新增的行全部删除,再去掉查找到的行 的行首的 “#”
ii 、 运行以下命令以载入 sysctl 配置文件,并设置活动内核参数:
# sysctl -p
8 安全网络
8.1 关闭 IP 绑定
8.1.1 说明
检查是否配置关闭多 IP 绑定。
8.1.2 检查方法
1 、运行以下命令并验证是否关闭 IP 绑定,查看是否存在相关参数且值为 off
#grep multi /etc/host.conf
8.1.3 修改建议
1)
加固方法:
i 、在 /etc/host.conf 中设置添加参数
multi off
2)
还原方法:
删除加固时添加的行。
8.2 不允许对主机进行 IP 伪装
8.2.1 说明
检查是否配置关闭 IP 伪装。
8.2.2 检查方法
1 、运行以下命令并验证是否启用反向路由筛选,查看是否存在相关参数且值为 1
#sysctl -n net.ipv4.conf.all.rp_filter
#sysctl -n net.ipv4.conf.default.rp_filter 31
8.2.3 修改建议
1)
加固方法:
i 、 在 /etc/sysctl.conf 文件中找到查找行,在查找行前加“ # ”注释,然后添加以下
参数:
net.ipv4.conf.all.rp_filter = 1
net.ipv4.conf.default.rp_filter = 1
ii 、运行以下命令以设置活动内核参数:
# sysctl -w net.ipv4.conf.all.rp_filter = 1
# sysctl -w net.ipv4.conf.default.rp_filter = 1
2)
还原方法:
i 、在 /etc/sysctl.conf 文件中找到查找行,在查找行前去掉“ # ”注释,删除
以下行参数:
net.ipv4.conf.all.rp_filter = 1
net.ipv4.conf.default.rp_filter = 1
ii 、运行以下命令以设置活动内核参数:
# sysctl -w net.ipv4.conf.all.rp_filter = 0
# sysctl -w net.ipv4.conf.default.rp_filter = 0
8.3 snmp 加固
8.3.1 说明
检查是否修改 snmp 默认团体字。
8.3.2 检查方法
1 、验证是否安装了 snmp
$rpm -qa |grep net-snmp
2 、检查是否存在 /etc/snmp/snmpd.conf
3 、检查是否存在 private public 团体名
8.3.3 修改建议
1)
加固方法:
i 、 如果系统未安装 snmp 服务,则无需加固
ii 、如存在 /etc/snmp/snmp.conf ,且存在 private public 默认团体名
把查找到的行在行首添加“ # ”进行注释,在注释行之后添加以下内容:
private public 改成: kylin_snmp ,并去除 default 关键字。
iii 、重启 snmp 服务 32
systemctl restart snmpd
2)
还原方法:
i 、把加固时新增的行全部删除,再去掉查找到的行 的行首的 “#”
ii 、重启 snmp 服务
systemctl restart snmpd
9 系统命令
9.1 设置输出历史命令
9.1.1 说明
检查保留历史命令的条数。
9.1.2 检查方法
1 、运行以下命令,并验证返回内容,查看是否存在相关参数,且条数设置为 5 条以下。
# grep "^HISTSIZE" /etc/profile
9.1.3 修改建议
1)
加固方法:
i 、编辑 /etc/profile, 查找到的行 , 在行首添加 “#” 进行注释 , 在注释行下 添加如下:
HISTSIZE=5
2)
还原方法:
i 、查找 HISTSIZE 所在行 , 在行首去掉“ # ”注释
ii 、删除行 HISTSIZE=5
9.2 设置记录历史命令
9.2.1 说明
检查保留历史命令的记录文件大小。
9.2.2 检查方法
1 、运行以下命令,并验证返回内容,查看是否存在相关参数,且条数设置为 5 条以下。
# grep "^HISTFILESIZE" /etc/profile 33
9.2.3 修改建议
1)
加固方法:
i 、编辑 /etc/profile 查找到的行 , 在行首添加 “#” 进行注释 , 在注释行下 添加如下
HISTFILESIZE=5
2)
还原方法:
i 查找 HISTFILESIZE 所在行, 在行首去掉 “#” 注释
ii 、删除行 HISTFILESIZE =5
9.3 su 命令使用日志配置
9.3.1 说明
检查是否配置 su 命令使用情况记录。
9.3.2 检查方法
1 、存在 /etc/rsyslog.conf ,查看相关文件是否配置了如下行:
authpriv.*
/var/log/secure
9.3.3 修改建议
1)
加固方法:
1 、存在 /etc/rsyslog.conf ,添加如下行:
authpriv.*
/var/log/secure
2)
还原方法:
删除 authpriv.*
/var/log/secure 所在行
10
潜在危险
10.1 重命名 .netrc 文件
10.1.1 说明
是否删除 .netrc 文件。
10.1.2 检查方法
1 、运行以下命令并验证输出是否存在 .netrc 文件
#find / -name .netrc 2>/dev/null 34
10.1.3 修改建议
1)
加固方法:
i 、运行以下命令进行加固:
#find / -name .netrc 2>/dev/null|xargs -I {} mv {} {}.bak
2)
还原方法:
.bak 文件名改为不带 .bak
mv .netrc.bak .netrc
10.2 重命名 hosts.equiv 文件
10.2.1 说明
是否删除 hosts.equiv 文件。
10.2.2 检查方法
1 、运行以下命令并验证输出是否存在 hosts.equiv 文件
#find / -name hosts.equiv 2>/dev/null
10.2.3 修改建议
1)
加固方法:
运行以下命令进行加固:
#find / -name hosts.equiv 2>/dev/null|xargs -I {} mv {} {}.bak
2)
还原方法:
.bak 文件名改为不带 .bak
mv hosts.equiv.bak hosts.equiv
10.3 重命名 .rhosts 文件
10.3.1 说明
是否删除 .rhosts 文件。
10.3.2 检查方法
1 、运行以下命令并验证输出是否存在 .rhosts 文件
#find / -name .rhosts 2>/dev/null 35
10.3.3 修改建议
1)
加固方法:
运行以下命令进行加固:
#find / -name .rhosts 2>/dev/null|xargs -I {} mv {} {}.bak
2)
还原方法:
.bak 文件名改为不带 .bak
mv .rhosts.bak rhosts
10.4 重命名 equiv 文件
10.4.1 说明
检查是否存在 equiv 文件。
10.4.2 检查方法
1 、运行以下命令并验证输出是否存在 equiv 文件
#find / -name equiv 2>/dev/null
10.4.3 修改建议
1)
加固方法:
运行以下命令进行加固:
#find / -name equiv 2>/dev/null|xargs -I {} mv {} {}.bak
2)
还原方法:
.bak 文件名改为不带 .bak
mv equiv.bak equiv
10.5 重命名 rhosts 文件
10.5.1 说明
检查是否存在 rhosts 文件。
10.5.2 检查方法
1 、运行以下命令并验证输出是否存在 rhosts 文件
#find / -name rhosts 2>/dev/null 36
10.5.3 修改建议
1)
加固方法:
运行以下命令进行加固:
#find / -name rhosts 2>/dev/null|xargs -I {} mv {} {}.bak
2)
还原方法:
.bak 文件名改为不带 .bak
mv rhosts.bak rhosts
10.6 /etc/aliases 未禁用不必要的别名
10.6.1 说明
检查 /etc/aliases 是否禁用不必要的别名。
10.6.2 检查方法
1 、打开 /etc/aliases ,查看结果是否存在:
games: root ingres: root system: root toor: root uucp: root manager: root dumper:
root operator: root decode: root root: mar
10.6.3 修改建议
1)
加固方法:
对上述检查的结果进行屏蔽, 在行首添加 “#” 进行注释
#games: root
#ingres: root
#system: root
#toor: root
#uucp: root
#manager: root
#dumper: root
#operator: root
#decode: root
#root: marc
2)
还原方法:
去除加固时注释行前面的 “#” 37
10.7 /etc/mail/aliases 未禁用不必要的别名
10.7.1 说明
检查 /etc/mail/aliases 是否禁用不必要的别名。
10.7.2 检查方法
打开 /etc/mail/aliases ,查看结果是否存在:
games: root ingres: root system: root toor: root uucp: root manager: root dumper:
root operator: root decode: root root: mar
10.7.3 修改建议
1)
加固方法:
对上述检查的结果进行屏蔽, 在行首添加 “#” 进行注释
#games: root
#ingres: root
#system: root
#toor: root
#uucp: root
#manager: root
#dumper: root
#operator: root
#decode: root
#root: marc
2)
还原方法:
去除加固时注释行前面的 “#”
10.8 判断 chkrootkit 是否安装
10.8.1 说明
检查是否安装 chkrootkit 进行系统监测。
10.8.2 检查方法
1 、运行以下命令,并验证是否安装了 chkrootkit
#rpm -qa|grep chkrootkit
2 、如步骤 1 安装则,检查系统是否存在 rootkit 程序,运行以下命令: 38
#chkrootkit -p /home:/bin:/sbin:/usr/bin:/usr/sbin:/usr/local/bin:/usr/local/sbin
10.8.3 安装方法
1 、 配置系统运行的网络环境
2 、 如未安装则提醒用户安装,运行以下命令安装 chkrootkit 软件
#yum install chkrootkit
3 、 执行 chkrootkit -p /home:/bin:/sbin:/usr/bin:/usr/sbin:/usr/local/bin:/usr/local/sbin, 检查
是否存在 rootkit 程序,并把疑似 rootkit 的程序输入到
/var/log/security_reinforce_chkrootkit.log 中。
11
系统设置
11.1 su 命令的访问限制
11.1.1 说明
检查是否使用 PAM 认证模块禁止 wheel 组之外的用户 su root
11.1.2 检查方法
1 、运行以下命令并验证输出是否包含匹配行:
# grep pam_wheel.so /etc/pam.d/su
auth required pam_wheel.so
运行以下命令并验证控制盘组中的用户是否与站点策略匹配:
# grep wheel /etc/group
wheel:x:10:root,<user list>
11.1.3 修改建议
1)
加固方法:
etc/pam.d/su 中添加如下行
auth required pam_wheel.so group=wheel
2)
还原方法:
etc/pam.d/su 中删除如下行
auth required pam_wheel.so group=wheel
11.2 限制 core dump
11.2.1 说明
检查系统 core dump 设置。 39
11.2.2 检查方法
1 、运行以下命令并验证输出是否匹配:
# grep "hard core" /etc/security/limits.conf /etc/security/limits.d/*
* hard core 0
# grep "hard core" /etc/security/limits.conf /etc/security/limits.d/*
* soft core 0
11.2.3 修改建议
1)
加固方法:
/etc/security/limits.conf 文件中添加以下行:
* hard core 0
* soft core 0
重启生效
2)
还原方法:
/etc/security/limits.conf 文件中删除以下行:
* hard core 0
* soft core 0
重启生效
11.3 禁用 ctrl+alt+delete
11.3.1 说明
检查系统是否禁用 ctrl+alt+del 组合键。
11.3.2 检查方法
使用如下命令查看 logout defualt 设置是否为””
#gsettings get org.mate.SettingsDaemon.plugins.media-keys logout
11.3.3 修改建议
1)
加固方法:
gsettings set org.mate.SettingsDaemon.plugins.media-keys logout '' 。用户注销后
再登陆,对当前用户生效
2)
还原方法:
命令行执行 gsettings set org.mate.SettingsDaemon.plugins.media-keys logout
'<Control><Alt>Delete' 。用户注销后再登陆,对当前用户均生效 40
11.4 设置空闲锁屏时间
11.4.1 说明
检查是否配置定时自动屏幕锁定(适用于具备图形界面的设备)。
11.4.2 检查方法
运行以下命令并验证锁屏时间,看是否小于等于 15 分钟
#gsettings get org.mate.session idle-delay
11.4.3 修改建议
1)
加固方法:
命令行执行 gsettings set org.mate.session idle-delay 15
生效方式是 :用户注销后再重新登录,对当前用户生效。
2)
还原方法:
命令行执行 gsettings set org.mate.session idle-delay 原始值。
生效方式是 :用户注销后再重新登录,对当前用户生效。
11.5 启用屏保
11.5.1 说明
检查是否配置定时自动屏幕锁定(适用于具备图形界面的设备)。
11.5.2 检查方法
运行以下命令并验证是否启用 , 结果为 blank-only 说明已启用
gsettings get org.ukui.screensaver mode
11.5.3 修改建议
1)
加固方法:
命令行执行 gsettings set org.ukui.screensaver mode blank-only
生效方式是 :用户注销后再重新登录,对当前用户生效。
2)
还原方法:
命令行执行 gsettings set org.ukui.screensaver mode 原始值。
生效方式是 :用户注销后再重新登录,对当前用户生效。 41
11.6 用户会话超时设置
11.6.1 说明
检查是否设置命令行界面超时退出。
11.6.2 检查方法
运行以下命令,并验证返回的所有 TMOUT 行都不超过 600 秒,文件存在一行。
# grep "^TMOUT" /etc/profile
export TMOUT=600
11.6.3 修改建议
1)
加固方法:
i 、 编辑 /etc/profile 文件添加如下行:
export TMOUT=600
ii 、运行如下命令:
source /etc/profile
2)
还原方法:
i 、 编辑 /etc/profile 文件并按如下方式删除 TMOUT 所在行
export TMOUT=600
ii 、 运行如下命令:
source /etc/profile
11.7 grub 引导设置密码
11.7.1 说明
检查是否设置系统引导管理器密码。
11.7.2 检查方法
运行以下命令,并验证 grub 是否设置了密码:
# grep "password_pbkdf2" | grep "grub.pbkdf2"
11.7.3 修改建议
1)
加固方法:
i 、运行以下命令进行加固:
# grub-mkpasswd-pbkdf2 42
Enter password : 《《《这里输入你的 grub 密码
Reenter password : 《《《这里输入你的 grub 密码
Your PBKDF2 is
grub.pbkdf2.sha512.10000.BC4D0A450E86EE447561FC822C832xxxxxxxxxxxxx4557
2D3B4E40500CE
ii 、在 /etc/grub2/grub.cfg 中添加如下行:
set superusers=“root”
password_pbkdf2 root
grub.pbkdf2.sha512.10000.BC4D0A450E86EE447561FC822C832xxxxxxxxxxxxx4557
2D3B4E40500CE
2)
还原方法:
/etc/grub2/grub.cfg 中把加固时(步骤 ii )新增的行全部删除。
12
文件权限
12.1 默认用户 umask 027 或更严格
12.1.1 说明
检查用户目录缺省访问权限设置。
12.1.2 检查方法
1 、 使用 umask 命令查看当前 umask
2 、 若 umask 值不为 027 ,则查看 /etc/bashrc 文件中是否包含对应 umask
12.1.3 修改建议
1)
加固方法:
1 、 编辑 /etc/bashrc 并添加或编辑 umask 参数如下:
umask 027
2 、 重启生效
2)
还原方法:
i . 编辑 /etc/bashrc 并删除或编辑 umask 参数为之前的修改值
ii .重启生效 43
12.2 配置重要目录文件的权限
12.2.1 说明
检查重要目录或文件权限设置。
12.2.2 目录文件 - 权限列表
/etc/rc.d/init.d/ 750 /etc/xinetd.conf 600 /etc/rc5.d/ 750 /etc/rc4.d 750 /etc/security 600
/etc/shadow 600 /etc/passwd 644 /etc/grub.conf 600 /boot/grub/grub.conf 600 /etc/lilo.conf
600 /etc/grub2.cfg 600 /boot/grub2/grub.cfg 600 /etc/rc0.d/ 750 /etc/rc6.d 750 /etc/rc1.d/ 750
/etc/rc2.d/ 750 /etc/group 644 /etc/services 644 /etc/rc3.d 750 ;。
12.2.3 检查方法
1 、运行以下命令并访问权限是否符合上述文件目录权限或者更严
# stat < 目录 >
12.2.4 修改建议
1)
加固方法:
运行以下命令设置文件目录的权限:
# chmod < 权限 > < 文件目录名称 >
2)
还原方法:
运行以下命令设置成加固前 stat 命令查询出来的文件目录的权限:
# chmod < 权限 > < 文件目录名称 >
12.3 配置日志配置文件默认文件目录权限
12.3.1 说明
检查日志配置文件默认文件目录权限。
12.3.2 检查方法
1 、存在 /etc/rsyslog.conf
运行以下命令并验证 $FileCreateMode 是否具有 0640 或更高的限制,
# grep ^\$FileCreateMode /etc/rsyslog.conf /etc/rsyslog.d/*.conf
运行以下命令并验证 $DirCreateMode 是否具有 0755 或更高的限制,
# grep ^\$DirCreateMode /etc/rsyslog.conf /etc/rsyslog.d/*.conf 44
12.3.3 修改建议
1)
加固方法:
存在 /etc/rsyslog.conf
编辑 /etc/rsyslog.conf 文件,把查找到的行 在行首添加 “#” 进行注释,在注释行之后
添加以下内容, $FileCreateMode 设置为 0640 或更严格 ,$DirCreateMode 设置为
0755 或更严格:
$FileCreateMode 0640
$DirCreateMode 0755
2)
还原方法:
把加固时新增的行全部删除,去掉查找到的行 的行首的 “#”
12.4 日志文件权限加固
12.4.1 说明
检查日志文件权限设置。
12.4.1 日志文件
/var/log/mail /var/log/boot.log /var/log/localmessages /var/log/secure /var/log/messages
/var/log/cron /var/log/spooler /var/log/maillog
12.4.2 检查方法
运行以下命令并访问权限,确认是否满足文件 other 用户不可写
# stat < 目录 >
12.4.3 修改建议
1)
加固方法:
other 用户可写则运行以下命令设置文件的权限:
# chmod <644> < 文件目录名称 >
2)
还原方法:
运行以下命令设置成之前 stat 命令查询出来的文件目录的权限:
# chmod < 权限 > < 文件目录名称 > 45
12.5 配置 ftp 服务器 umask
12.5.1 说明
检查 FTP 用户上传的文件所具有的权限。
12.5.2 检查方法
1 、存在 /etc/vsftpd/vsftpd.conf 查看其参数 local_umask 是否是 022 或者更严。
12.5.3 修改建议
1)
加固方法:
存在 /etc/vsftpd/vsftpd.conf ,添加如下行:
local_umask 022
2)
还原方法:
/etc/vsftpd/vsftpd.conf ,删除如下行:
local_umask 022
12.6 配置 ftp 服务器用户访问权限
12.6.1 说明
检查并配置配置 ftp 服务器用户访问权限。
12.6.2 检查方法
1. 存在 /etc/vsftpd/vsftpd.conf 查看是否配置 chroot_local_user=YES
allow_writeable_chroot = YES
12.6.3 修改建议
1)
加固方法:
i 、在 /etc/vsftpd/vsftpd.conf 文件中找到配置项所在行, 把查找到的行在行首添加 “#”
进行注释,在注释行之后添加以下内容
chroot_local_user=YES
allow_writeable_chroot = YES
如需要写权限需要再配置:
write_enable=YES
ii 、重启 vsftp 服务
systemctl restart vsftp 46
2)
还原方法:
i 、在 /etc/vsftpd/vsftpd.conf 文件中,找到加固配置项所在行, 把查找到的行在行首
“#” 进行删除,把加固时新增的内容删除。
ii 、重启 vsftp 服务
systemctl restart vsftp
13
磁盘检查
13.1 系统磁盘扩容
13.1.1 说明
检查系统磁盘分区使用率。
13.1.2 检查方法
1 、运行以下命令,并验证返回磁盘空间是否超过 80%
# df -h |grep -w '/' |awk '{print $5}'|awk -F '%' '{print $1}'
13.1.3 修改建议
1)
加固方法:
如存在磁盘使用率超过 80% 的则提醒用户扩容。
13.2 tripwire 加固
13.2.1 说明
文件系统和磁盘完整性校验。
13.2.2 检查方法
1 、运行以下命令,并验证是否安装了 tripwire
#rpm -qa|grep tripwire
13.2.3 修改建议
1)
加固方法:
如未安装则提醒用户安装。 47
14
资源分配
14.1 quota 加固
14.1.1 说明
应以每个用户或每个用户组为基础,提供一种机制,控制其对磁盘的消耗和对CPU等
资源的使用。
14.1.2 检查方法
1 、运行以下命令,并验证是否安装了 quota
#rpm -qa|grep quota
14.1.3 修改建议
1)
加固方法:
如未安装则提醒用户安装。
14.2 cgroup 加固
14.2.1 说明
应以每个用户或每个用户组为基础,提供一种机制,控制其对磁盘的消耗和对 CPU
资源的使用。
14.2.2 检查方法
1 、运行以下命令,并验证是否安装了 libcgroup
#rpm -qa|grep libcgroup
14.2.3 修改建议
1)
加固方法:
如未安装则提醒用户安装。
15
系统维护
15.1 grub 维护模式设置
15.1.1 说明
应提供维护模式中运行系统的能力,在维护模式下各种安全功能全部失效。系统仅允许
系统管理员进入维护模式。 48
15.1.2 检查方法
1 、若系统为 uboot 引导,运行以下命令并验证输出是否匹配:
# cat -n /boot/grub2/grub.cfg|sed -n ‘/rescue/,/\}/p’|grep vmlinuz|grep “init=”
2 、若系统为 uefi 引导,运行以下命令并验证输出是否匹配:
# cat -n /boot/efi/EFI/kylin/grub.cfg|sed -n ‘/rescue/,/\}/p’|grep vmlinuz|grep “init=”
15.1.3 修改建议
1)
加固方法:
/boot/grub2/grub.cfg 或者 /boot/efi/EFI/kylin/grub.cfg 文件里,查找到匹配行后,把
查找到的行在行首添加“ # ”进行注释,在注释行之后添加以下内容。
如:
linux/vmlinuz-0-rescue-6538b46541e04ca29dece0eabc82d725
root=/dev/mapper/klas-root rw resume=/dev/mapper/klas-swap rd.lvm.lv=klas/root
rd.lvm.lv=klas/swap rhgb quiet crashkernel=1024M,high init=/bin/bash
2)
还原方法:
/boot/grub2/grub.cfg 或者 /boot/efi/EFI/kylin/grub.cfg 文件里,查找到匹配行后,去
掉行前的“ # ”,再把加固时增加的行删除。
m0_51178271
关注
银河麒麟高级服务器操作系统 V10 加固
2301_80114500的博客
05-17 2338
检查当前系统是否存在无用账户、可疑账户,及时进行禁用或者删除,可防止系统被黑。为了保证之后所创建的账号每个账号的口令复杂度均满足实际所需,需更改相应的配置。通过之前的命令只可更改当前已存在的账户的密码有效期,为了保障以后新建立的账户。为防止遭受恶意暴力破解,设置账户登录尝试次数并进行锁定,有效保护账户的安全。定期更改密码有助于提高账户的安全性,设置合理的密码有效期是此项的目的。关闭当前不需要的服务,以防止黑客通过相关服务的漏洞入侵主机。也可遵循相应的密码有效期规则,需要修改相应的配置文件。
银河麒麟高级服务器操作系统V10加固操作指南
weixin_54171196的博客
07-14 1308
(1)/etc/rc0.d/、/etc/rc1.d、/etc/rc2.d、/etc/rc3.d、/etc/rc4.d、/etc/rc5.d、/etc/rc6.d、/etc/rc.d/init.d/这些目录跟系统启动初始化有关,如果修改权限可能会导致系统启动异常等风险,因此不建议进行修复操作。系统中的/etc/profile、/etc/csh.cshrc、/etc/bashrc的默认umask值比修复建议更小,即权限限制更严,不建议进行修复。10:检查是否存在/var/log/pact。
07-银河麒麟高级服务器操作系统V10 SP3 2303安全三级加固手册
09-08
银河麒麟高级服务器操作系统V10 SP3 2303安全三级加固手册 包含9大领域和等保三级要求相关加固知识 1 安全服务 2 密码强度 3 账户锁定 4 系统安全 5 系统审计 6 系统设置 7 磁盘检查 8 资源分配 9 系统维护
网安等保-国产Linux操作系统银河麒麟KylinOS-V10SP3常规配置、系统优化与安全加固基线实践文档
hejinde的专栏
05-09 1923
描述: 随着国家要求各政府部门及事企业单位服务器系统国产化,越来越多的的企业单位逐步引进国产化Linux操作系统(大趋势),在众多国产操作系统银河麒麟(KylinOS)、中科方德、统信UOS,此三家持续版本迭代超15年的其生态市场及占有率最高, 除此之外红旗Linux、共创Linux、凝思磐石、新支点、深度Linux、Start OS、思普操作系统、云针OS、鸿蒙OS、YunOS、OpenCloudOS等国产操作系统
银河麒麟V10(KylinAdvancedServerV10_SP3)Vmware17.6虚拟机中详细安装教程
最新发布
yuanjinshenglife的专栏
03-11 4475
银河麒麟V10虚拟机中详细安装教程,包括虚拟机创建、麒麟银河V10操作系统详细安装安装
凝思&麒麟操作系统加固操作手册.docx
05-29
国产凝思及麒麟操作系统安全加固指导。含用户策略、身份鉴别、桌面配置、安全内核、主机配置、防火墙功能、网络服务管理、外设接口、自动播放、远程登录、外部连接管理、日志与审计等方面内容。
06-银河麒麟高级服务器操作系统V10 SP3 2303安全加固手册
09-08
安全加固手册: 包含15大领域: 1 安全服务 2 密码强度 3 账户锁定 4 系统安全 5 系统审计 6 系统设置 7 磁盘检查 8 资源分配 9 系统维护 ......
银河麒麟高级服务器操作系统V10SP3(ARM64)安装高斯数据库opengaussdb 6.0教程
2401_84117090的博客
07-09 3579
服务器:鲲鹏920服务器操作 系统:银河麒麟V10 SP3 2303服务器操作系统 数据库:openGauss-6.0.0-RC1-openEuler-64bit-all.tar,openGauss 6.0.0版本。
02-银河麒麟高级服务器操作系统 V10 SP3 2303系统管理员手册
09-08
银河麒麟高级服务器操作系统 V10 SP3 2303 系统管理员手册》是为适应中国本土CPU平台如飞腾、龙芯、申威、兆芯、海光、鲲鹏等而设计的高性能服务器操作系统。该手册是针对系统管理员和技术人员的重要参考资料,...
03-银河麒麟高级服务器操作系统V10 SP3 2303安全中心用户手册
09-08
安全中心是一款基于麒麟安全框架(KYSEC)和麒麟铠衣执行环境(KYLIN ...增强安全功能层:包含安全加固、账户保护、网络保护、应用执行控制和应用防护控制等功能,保障系统运行环境的安全和稳定, 进一步加固双体系安全底座。
04-银河麒麟高级服务器操作系统V10 SP3 2303文件保护箱用户手册
09-08
文件保护箱是基于内核级数据隔离机制的保护工具,提供用户间数据隔离和加密保护功能,支持国密算法,实现一箱一密、一文一密的细粒度控制,保障用户数据安全
[全]国产麒麟kylin Linux操作系统安全加固及等保测评
weixin_33372672的博客
07-15 2479
测评前先进行资产的信息收集,查看对应系统的版本右键我的电脑→属性一、 身份鉴别a)应对登录的用户进行身份标识和鉴别,身份标识具有唯一性,身份鉴别信息具有复杂度要求并定期更换当前实际情况确认用户在登录过程中是否采用了身份鉴别措施(一般为用户名+口令)确认是否有空口令账户存在cat /etc/passwd 该文件中各用户的第二...
银河麒麟高级服务器操作系统V10SP3(X86)安装设备类型选择lvm简单模式之后,数据写入导致失败导致系统重启无法正常加载
weixin_45754407的博客
03-21 7598
银河麒麟高级服务器操作系统V10SP3(X86)安装设备类型选择lvm简单模式之后,数据写入导致失败导致系统重启无法正常加载
银河麒麟服务器操作系统V10SP3
数据也是生产力,保持热爱,奔赴山海!
03-04 5664
银河麒麟服务器操作系统V10SP3是一款直接面向kernel根社区,基于openEuler社区构建强安全、高可靠的国产Linux操作系统。具备CPU架构同源支持、自主平台优化、云原生支持、可管理型、高可用性和内生本质安全六大特性优势。
麒麟信安操作系统衍生产品解决方案 | 主机安全加固软件,实现一键快速加固
weixin_49546901的博客
07-15 1040
麒麟信安主机安全加固软件是为主机量身打造的一款安全防护软件,可为管理员提供图形化、菜单式、细粒度的安全加固选项,并具有“一键加固”快速功能。管理员可根据实际需求挑选相关加固功能,有效解决数据外泄和风险入侵等问题,提升操作系统整体安全防护能力。基于麒麟信安多年来在国产操作系统领域产品研发和服务的经验积累,麒麟信安主机安全加固软件从操作系统底层对系统实现安全增强,满足重要行业和关键信息系统对操作系统安全保护需要。根据最新的安防要求,持续迭代升级,满足多行业领域最新的安全防护要求。...
银河麒麟V10桌面(020)系统安全加固-异常用户检测
Whenbeen的博客
08-18 921
针对银河麒麟操作系统进行安全加固
银河麒麟V10桌面(020)系统安全加固-账户登录失败锁定
Whenbeen的博客
08-19 2178
针对银河麒麟操作系统进行安全加固
VMware 安装银河麒麟 Kylin Server V10 SP3 虚拟机
jiangyjsir的博客
11-23 6952
本文详细介绍在 VMware 中安装银河麒麟 Kylin Server V10 SP3 虚拟机,主要内容包括系统镜像下载、虚拟机创建、麒麟系统安装、虚拟机固定 IP 配置,同时还介绍了如何实现局域网其他设备访问虚拟机内的服务。
银河麒麟高级服务器操作系统v10 sp3 2403 x86版本安装
11-19
银河麒麟高级服务器操作系统v10 SP3 (2403 x86 版本) 是一款专为服务器环境设计的安全、稳定的操作系统。它基于Linux内核,针对企业级应用优化,支持x86架构。以下是安装的一般步骤: 1. **准备硬件**:确保您的服务器硬件满足v10 SP3的最低系统需求,如处理器、内存和硬盘空间。 2. **下载镜像**:访问银河麒麟官网或官方认证渠道下载适用于x86架构的最新ISO镜像文件。 3. **创建启动介质**:将ISO文件刻录到CD/DVD或使用U盘工具制作启动U盘。 4. **重启服务器**:设置BIOS或UEFI引导顺序,从安装媒介启动。 5. **初始化安装**:开始安装过程,通常会进入一个图形化界面,需要输入管理员用户名、密码以及一些基本配置信息,比如选择安装模式(GUI或命令行)。 6. **分区和配置**:选择安装位置,可以选择覆盖现有系统或全新安装,并配置分区方案。 7. **许可证接受**:确认并接受操作系统许可证协议。 8. **安装软件包**:安装过程中可能会询问是否安装特定组件,如数据库服务、安全补丁等,根据实际需求选择。 9. **设置网络**:配置网络连接,包括静态IP地址或其他网络设置。 10. **完成安装**:验证所有设置无误后,完成安装并重启服务器,系统将会自动加载并运行新安装的麒麟操作系统
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值