Redhat_安全加固
RHEL 操作系统安全加固手册
目 录
第1章 账号安全1-1
1.1 密码规则1-1
1.1.1 密码长度、有效期(必做)1-1
1.1.2 空密码检查(必做)1-2
1.1.3 密码复杂度(必做)1-2
1.2 登录验证规则1-3
1.2.1 记录用户登录失败次数并锁定(必做)1-3
1.2.2 查看用户登录失败次数(查看)1-3
1.2.3 解锁已锁定用户1-4
1.3 访问控制1-4
1.3.1 禁止root用户直接远程ssh登录(必做)1-4
1.3.2 禁止root用户直接远程telnet登录(必做)1-4
1.3.3 禁止无用的系统用户登录(必做)1-5
1.3.4 删除系统特殊的的用户帐号(必做)1-6
1.3.5 删除特殊的组(必做)1-6
1.3.6 登录超时控制(必做)1-6
1.3.7 检查是否存在除 root 之外 UID 为 0 的用户(必做)1-7
1.3.8 允许或禁止指定用户或组直接ssh远程登录(可选)1-7
1.3.9 允许或禁止指定用户或组直接telnet远程登录1-7
1.3.10 允许或禁止指定IP地址ssh远程登录(可选)1-8
1.3.11 允许或禁止指定IP地址telnet远程登录(可选)1-8
1.3.12 指定wheel组的用户可以su作为root(可选,先不做,测试有问题)1-8
1.4 用户和文件权限1-9
1.4.1 查找未授权的 SUID/SGID 文件(必做)1-9
1.4.2 设定用户创建目录和文件的默认权限(必做)1-10
1.4.3 root 用户环境变量的安全性(必做)1-10
1.4.4 检查root用户环境变量path规范(必做)1-11
1.4.5 远程连接的安全性配置(必做)1-11
1.4.6 重要目录和文件的权限设置(必做)1-11
1.4.7 检查任何人都有写权限的目录(必做)1-13
1.4.8 查找任何人都有写权限的文件(必做)1-13
1.4.9 检查没有属主的文件(必做)1-13
1.4.10 检查异常隐含文件(必做)1-14
1.4.11 加锁重要口令文件和组文件(可选)1-14
1.5 系统日志审计1-15
1.5.1 syslog 登录事件记录(必做)1-15
1.5.2 syslog.conf 的配置审核(必做)1-15
1.5.3 审计功能的进程(必做)1-15
1.5.4 记录审计的日志(查看)1-16
1.5.5 登录日志(查看)1-16
1.6 系统资源限制1-1
1.6.1 系统 core dump 状态(必做)1-1
第2章 其它2-1
2.1 服务2-1
2.1.1 查看现有服务(查看)2-1
2.1.2 停止不必要的服务(必做)2-7
2.1.3 关闭ipv6(可选)2-8
2.1.4 修改ssh默认端口22(可选)2-10
2.1.5 vsftp服务禁止匿名登录(必做)2-10
2.1.6 停止gssftp(必做)2-10
2.1.7 设置NFS共享目录的访问权限(可选)2-11
2.1.8 系统安装补丁(必做)2-11
2.1.9 升级openssh(必选)2-11
2.1.10 禁止Ctrl+Alt+Delete重新启动机器(必选)2-13
2.1.11 系统在登陆时暴露有关操作系统版本信息(必选)2-13
2.1.12 禁止接收、转发源路由数据包2-14
2.1.13 修改snmpd.conf中的默认团体名2-14
2.1.14 禁止icmp重定向(手动配置)2-14
2.1.15 vsftp安全传输(必做)2-15
2.1.16 vsftp限制用户目录(必做)2-15
2.1.17 FTP登录显示Banner(必做)2-15
2.1.18 ssh登录显示Banner(必做)2-16
2.1.19 检查是否设置屏幕锁定2-16
图目录
未找到图形项目表。
表目录
未找到图形项目表。
账号安全
密码规则
密码长度、有效期(必做)
/etc/login.defs文件是当创建用户时的一些规划,比如创建用户时,是否需要家目录,UID和GID的范围;用户的期限等等,这个文件是可以通过root来定义的
PASS_MAX_DAYS 90
PASS_MIN_DAYS 6 ----两次改变密码之间相距的最小天数,为零时代表任何时候都可以更改密码
PASS_MIN_LEN 6 ----密码最小长度
PASS_WARN_AGE 30 ----在密码过期之前警告的天数
注意:以上只对之