在给Linux系统进行安全加固的时候,可以参考下面的相关配置选项。
一.账号口令
| 编号 | 配置 |
| 1 | 检查是否设置口令更改最小间隔天数 |
| 2 | 检查口令最小长度 |
| 3 | 检查是否设置口令生存周期 |
| 4 | 检查是否存在空口令账号 |
| 5 | 检查是否设置口令过期前警告天数 |
| 6 | 检查设备密码复杂度策略 |
| 7 | 检查是否设置除root之外UID为0的用户 |
二.认证授权
| 编号 | 配置 |
| 1 | 用户目录缺省访问权限设置 |
| 2 | 用户umask设置 |
| 3 | 重要文件属性设置 |
| 4 | 设置ssh登录前警告Banner |
| 5 | 重要目录或文件权限设置 |
三.日志审计
| 编号 | 配置 |
| 1 | 安全事件日志配置 |
| 2 | 配置远程日志功能 |
| 3 | 对登录进行日志记录 |
| 4 | 配置su命令使用情况记录 |
| 5 | 记录用户对设备的操作 |
| 6 | 日志文件是否非全局可写 |
| 7 | 启用cron行为日志功能 |
四.协议安全
| 编号 | 配置 |
| 1 | 禁止匿名用户登录FTP |
| 2 | 禁止root用户登录FTP |
| 3 | 使用IP协议远程维护的设备是否配置SSH协议,禁用telnet协议 |
| 4 | 禁止root用户远程登录 |
| 5 | 修改snmp默认团体字 |
| 6 | 系统openssh安全配置 |
五.其他安全
| 编号 | 配置 |
| 1 | 设置命令行界面超时退出 |
| 2 | 关闭系统信任机制 |
| 3 | 关闭不必要的服务和端口 |
| 4 | 使用PAM认证模块禁止wheel组之外的用户su为root |
| 5 | 系统core dump设置 |
| 6 | root用户的path环境变量 |
| 7 | 系统是否禁用ctrl+alt+del组合键 |
| 8 | 密码重复使用次数限制 |
| 9 | 设置系统引导管理器密码 |
| 10 | 系统磁盘分区使用率 |
| 11 | 日志文件权限设置 |
| 12 | FTP用户上传的文件所具有的权限 |
| 13 | /usr/bin/目录下可执行文件的拥有者属性 |
| 14 | 按用户分配账号 |
| 15 | 历史命令设置 |
| 16 | 限制FTP用户登录后能访问的目录 |
| 17 | 设置ssh成功登录后Banner |
| 18 | NFS(网络文件系统)服务配置 |
| 19 | 关闭IP伪装和绑定多IP功能 |
| 20 | 拥有suid和sgid权限的文件 |
| 21 | 配置定时自动屏幕锁定(适用于具备图形界面的设备) |
| 22 | 按组进行账号管理 |
| 23 | telnet Banner 设置 |
| 24 | 限制远程登录IP范围 |
| 25 | 安装chkrootkit进行系统监测 |
| 26 | 删除潜在危险文件 |
| 27 | 配置用户所需最小权限 |
| 28 | 系统内核参数配置 |
| 29 | 账户认证失败次数限制 |
| 30 | 关闭数据包转发功能(适用于不做路由功能的系统) |
| 31 | 安装OS补丁 |
| 32 | 删除与设备运行、维护等工作无关的账号 |
| 33 | 对系统账号进行登录限制 |
| 34 | 禁用不必要的系统服务 |
| 35 | 使用NTP(网络时间协议)保持时间同步 |
| 36 | 别名文件/etc/aliase(或/etc/mail/aliases)配置 |
4791
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
