在给Linux系统进行安全加固的时候,可以参考下面的相关配置选项。
一.账号口令
编号 | 配置 |
1 | 检查是否设置口令更改最小间隔天数 |
2 | 检查口令最小长度 |
3 | 检查是否设置口令生存周期 |
4 | 检查是否存在空口令账号 |
5 | 检查是否设置口令过期前警告天数 |
6 | 检查设备密码复杂度策略 |
7 | 检查是否设置除root之外UID为0的用户 |
二.认证授权
编号 | 配置 |
1 | 用户目录缺省访问权限设置 |
2 | 用户umask设置 |
3 | 重要文件属性设置 |
4 | 设置ssh登录前警告Banner |
5 | 重要目录或文件权限设置 |
三.日志审计
编号 | 配置 |
1 | 安全事件日志配置 |
2 | 配置远程日志功能 |
3 | 对登录进行日志记录 |
4 | 配置su命令使用情况记录 |
5 | 记录用户对设备的操作 |
6 | 日志文件是否非全局可写 |
7 | 启用cron行为日志功能 |
四.协议安全
编号 | 配置 |
1 | 禁止匿名用户登录FTP |
2 | 禁止root用户登录FTP |
3 | 使用IP协议远程维护的设备是否配置SSH协议,禁用telnet协议 |
4 | 禁止root用户远程登录 |
5 | 修改snmp默认团体字 |
6 | 系统openssh安全配置 |
五.其他安全
编号 | 配置 |
1 | 设置命令行界面超时退出 |
2 | 关闭系统信任机制 |
3 | 关闭不必要的服务和端口 |
4 | 使用PAM认证模块禁止wheel组之外的用户su为root |
5 | 系统core dump设置 |
6 | root用户的path环境变量 |
7 | 系统是否禁用ctrl+alt+del组合键 |
8 | 密码重复使用次数限制 |
9 | 设置系统引导管理器密码 |
10 | 系统磁盘分区使用率 |
11 | 日志文件权限设置 |
12 | FTP用户上传的文件所具有的权限 |
13 | /usr/bin/目录下可执行文件的拥有者属性 |
14 | 按用户分配账号 |
15 | 历史命令设置 |
16 | 限制FTP用户登录后能访问的目录 |
17 | 设置ssh成功登录后Banner |
18 | NFS(网络文件系统)服务配置 |
19 | 关闭IP伪装和绑定多IP功能 |
20 | 拥有suid和sgid权限的文件 |
21 | 配置定时自动屏幕锁定(适用于具备图形界面的设备) |
22 | 按组进行账号管理 |
23 | telnet Banner 设置 |
24 | 限制远程登录IP范围 |
25 | 安装chkrootkit进行系统监测 |
26 | 删除潜在危险文件 |
27 | 配置用户所需最小权限 |
28 | 系统内核参数配置 |
29 | 账户认证失败次数限制 |
30 | 关闭数据包转发功能(适用于不做路由功能的系统) |
31 | 安装OS补丁 |
32 | 删除与设备运行、维护等工作无关的账号 |
33 | 对系统账号进行登录限制 |
34 | 禁用不必要的系统服务 |
35 | 使用NTP(网络时间协议)保持时间同步 |
36 | 别名文件/etc/aliase(或/etc/mail/aliases)配置 |