linux系统加固规范
Linux 系统加固规范 山东省计算中心 2018 年5 月1 1 账号管理、认证授权 账号管理、认证授权 1.1.1 1.1.1 Linux-01-01-01 Linux-01-01-01 编号 Linux-01-01-01 名称 为不同的管理员分配不同的账号 实施目的 根据不同类型用途设置不同的帐户账号,提高系统安全。 问题影响 账号混淆,权限不明确,存在用户越权使用的可能。 系统当前状态 cat /etc/passwd 记录当前用户列表 实施步骤 1、参考配置操作 为用户创建账号: #useradd username #创建账号 #passwd username #设置密码 修改权限: #chmod 750 directory #其中755为设置的权限,可根据 实际情况设置相应的权限,directory是要更改权限的目录) 使用该命令为不同的用户分配不同的账号,设置不同的口令 及权限信息等。 回退方案 恢复 httpd.conf 文件,重启 APACHE 判断依据 判断是否漏洞。 实施风险 中 重要等级 ★★★1.1.2 1.1.2 Linux-01-01-02 Linux-01-01-02 编号 Linux-01-01-02 名称 去除不需要的帐号、修改默认帐号的shell变量 实施目的 删除系统不需要的默认帐号、更改危险帐号缺省的 shell 变量 问题影响 允许非法利用系统默认账号 系统当前状态 cat /etc/passwd 记录当前用户列表, cat /etc/shadow 记 录当前密码配置 实施步骤 1、参考配置操作 # userdel lp # groupdel lp 如果下面这些系统默认帐号不需要的话,建议删除。 lp, sync, shutdown, halt, news, uucp, operator, games, gopher 修改一些系统帐号的 shell 变量,例如 uucp,ftp 和 news 等, 还有一些仅仅需要 FTP 功能的帐号,一定不要给他们设置 /bin/bash 或者/bin/sh 等 Shell 变量。可以在/etc/passwd 中将它 们的 shell 变量设为/bin/false 或者/dev/null 等,也可以使用 usermod -s /dev/null username 命令来更改 username 的 shell 为/dev/null。 回退方案 恢复账号或者 SHELL 判断依据 如上述用户不需要,则锁定。 实施风险 中 重要等级 ★★ 备注1.1.3 1.1.3 Linux-01-01-03 Linux-01-01-03 编号 Linux-01-01-03 名称 限制超级管理员远程登录 实施目的 限制具备超级管理员权限的用户远程登录。远程执行管理员 权限操作,应先以普通权限用户远程登录后,再切换到超级 管理员权限账。 问题影响 允许root远程非法登陆 系统当前状态 cat /etc/ssh/sshd_config cat /etc/securetty 实施步骤 1、 参考配置操作 SSH: #vi /etc/ssh/sshd_config 把 PermitRootLogin yes 改为 PermitRootLogin no 重启 sshd 服务 #service sshd restart CONSOLE: 在/etc/securetty 文件中配置:CONSOLE = /dev/tty01 回退方案 还原配置文件 /etc/ssh/sshd_config 判断依据 /etc/ssh/sshd_config 中 PermitRootLogin no 实施风险 高 重要等级 ★★ 备注1.1.4 1.1.4 Linux-01-01-04 Linux-01-01-04 编号 Linux-01-01-04 名称 对系统账号进行登录限制 实施目的 对系统账号进行登录限制,确保系统账号仅被守护进程和服 务使用。 问题影响 可能利用系统进程默认账号登陆,账号越权使用 系统当前状态 cat /etc/passwd查看各账号状态。 实施步骤 1、 参考配置操作 Vi /etc/passwd 例如修改 lynn:x:500:500::/home/lynn:/sbin/bash 更改为: lynn:x:500:500::/home/lynn:/sbin/nologin 该用户就无法登录了。 禁止所有用户登录。 touch /etc/nologin 除 root 以外的用户不能登录了。 2、补充操作说明 禁止交互登录的系统账号,比如 daemon,bin,sys、adm、lp、 uucp、nuucp、smmsp 等等 回退方案 还原/etc/passwd 文件配置 判断依据 /etc/passwd 中的禁止登陆账号的 shell 是 /sbin/nologin 实施风险 中 重要等级 ★★★ 备注1.1.5 1.1.5 Linux-01-01-05 Linux-01-01-05 编号 Linux-01-01-05 名称 为空口令用户设置密码 实施目的 禁止空口令用户,存在空口令是很危险的,用户不用口令认 证就能进入系统。 问题影响 用户被非法利用 系统当前状态 cat /etc/passwd awk -F: ($2 == ““){print $1} /etc/passwd 实施步骤 awk -F: ($2 == ““){print $1} /etc/passwd 用 root 用户登陆 Linux 系统,执行 passwd 命令,给用户增 加口令。 例如:passwd test test。 回退方案 Root 身份设置用户口令,取消口令 如做了口令策略则失败 判断依据 登陆系统判断 Cat /etc/passwd 实施风险 高 重要等级 ★ 备注1.1.6 1.1.6 Linux-01-01-06 Linux-01-01-06 编号 Linux-01-01-05 名称 为空口令用户设置密码 实施目的 禁止空口令用户,存在空口令是很危险的,用户不用口令认 证就能进入系统。 问题影响 用户被非法利用 系统当前状态 cat /etc/passwd awk -F: ($2 == ““){print $1} /etc/passwd 实施步骤 awk -F: ($2 == ““){print $1} /etc/passwd 用 root 用户登陆 Linux 系统,执行 passwd 命令,给用户增 加口令。 例如:passwd test test。 回退方案 Root 身份设置用户口令,取消口令 如做了口令策略则失败 判断依据 登陆系统判断 Cat /etc/passwd 实施风险 高 重要等级 ★ 备注1.1.7 1.1.7 Linux-01-01-07 Linux-01-01-07 编号 Linux-01-01-05 名称 为空口令用户设置密码 实施目的 禁止空口令用户,存在空口令是很危险的,用户不用口令认 证就能进入
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
