Linux安全加固
0x01、账户管理
1、口令锁定策略
2、口令生存期
密码有效期
3、口令复杂度
4、检查密码重用是否受限制
5、检查是否存在除root之外UID为0的用户
6、禁止存在空密码的帐户
0x02、服务管理
1、禁止SSH空密码用户登录
2、SSH多次登录失败后锁定用户
3、限制root用户远程登录
4、检查ssh使用的端口
5、设置登录超时自动注销
0x03、权限管理
1、检查默认umask值
默认拿走权限,第一位不用管,第二位默认不拿走所有者任何权限,第三位默认拿走所在组写权限,第四位默认拿走其他人写权限。创建文件时默认没有执行权限
2、检查重要目录和文件的权限设置
3、限制可以su为root的用户
0x04、日志管理
1、检查rsyslog服务启用状况以及对登录事件的记录
/etc/rsyslog.conf文件中的每一行代表一条设置值,每一条设置值的语法为:消息类型 执行动作
“消息类型”指定哪些消息需要记录,“执行动作“则告诉系统日志服务该如何处理这些消息
“消息类型”以 消息来源.优先级 的格式指定消息的种类
“消息来源”表示消息是从哪个子系统传送过来的,来源主要有以下这些:
authpriv:与用户安全、验证有关的消息
sron:与计划任务有关的消息
daemon:与一般服务有关的消息
kern:来自系统内核的消息
mail:来自邮件系统的消息
lesalN:保留
“优先级”则用来指出消息的优先等级,即消息的重要程度。其优先级别如下(数字等级越小,优先级越高,消息越重要但记录的信息越少),
0 EMERG(紫急),会导致主机系统不可用的情况。
1 ALERT(警告):必须马上采取措施解决的问题。
2 CRIT(严重):比较严重的情况。
3 ERR(错误):运行出现错误。
4 WARNING(提醒):可能影响系统功能,需要提醒用户的重要事件。
5 NOTICE(注章):不会影响正常功能,但是需要注意的事件。
6 INFO(信息):一般信息。
7 DEBUG(调试):程序或系统调试信息等。
例:cron.info /var/log/cron 将info级别以上的计划任务信息放到该目录下
除此之外,“消息来源”与“优先级”可以使用星号(*)代表所有,因此*.*就表示来自所有子系统的所有级别的消息。
而“执行动作”字段则用来定义如何处理接收到的消息,可以指定如下几项内容:
/PATH/FILENAME:将消息存储到指定的文件中,文件必须以斜线(/)开头的绝对路径命名:
USERNAME:将消息发送给指定的已经登录的用户;
@HOSTNAME:将消息转发到指定的日志服务器;
*:将消息发送给所有已经登陆的用户