红帽linux安全配置,Redhat_安全加固.doc

Redhat_安全加固

RHEL 操作系统安全加固手册

目 录

第1章 账号安全1-1

1.1 密码规则1-1

1.1.1 密码长度、有效期(必做)1-1

1.1.2 空密码检查(必做)1-2

1.1.3 密码复杂度(必做)1-2

1.2 登录验证规则1-3

1.2.1 记录用户登录失败次数并锁定(必做)1-3

1.2.2 查看用户登录失败次数(查看)1-3

1.2.3 解锁已锁定用户1-4

1.3 访问控制1-4

1.3.1 禁止root用户直接远程ssh登录(必做)1-4

1.3.2 禁止root用户直接远程telnet登录(必做)1-4

1.3.3 禁止无用的系统用户登录(必做)1-5

1.3.4 删除系统特殊的的用户帐号(必做)1-6

1.3.5 删除特殊的组(必做)1-6

1.3.6 登录超时控制(必做)1-6

1.3.7 检查是否存在除 root 之外 UID 为 0 的用户(必做)1-7

1.3.8 允许或禁止指定用户或组直接ssh远程登录(可选)1-7

1.3.9 允许或禁止指定用户或组直接telnet远程登录1-7

1.3.10 允许或禁止指定IP地址ssh远程登录(可选)1-8

1.3.11 允许或禁止指定IP地址telnet远程登录(可选)1-8

1.3.12 指定wheel组的用户可以su作为root(可选，先不做，测试有问题)1-8

1.4 用户和文件权限1-9

1.4.1 查找未授权的 SUID/SGID 文件(必做)1-9

1.4.2 设定用户创建目录和文件的默认权限(必做)1-10

1.4.3 root 用户环境变量的安全性(必做)1-10

1.4.4 检查root用户环境变量path规范(必做)1-11

1.4.5 远程连接的安全性配置(必做)1-11

1.4.6 重要目录和文件的权限设置(必做)1-11

1.4.7 检查任何人都有写权限的目录(必做)1-13

1.4.8 查找任何人都有写权限的文件(必做)1-13

1.4.9 检查没有属主的文件(必做)1-13

1.4.10 检查异常隐含文件(必做)1-14

1.4.11 加锁重要口令文件和组文件(可选)1-14

1.5 系统日志审计1-15

1.5.1 syslog 登录事件记录(必做)1-15

1.5.2 syslog.conf 的配置审核(必做)1-15

1.5.3 审计功能的进程(必做)1-15

1.5.4 记录审计的日志(查看)1-16

1.5.5 登录日志(查看)1-16

1.6 系统资源限制1-1

1.6.1 系统 core dump 状态(必做)1-1

第2章 其它2-1

2.1 服务2-1

2.1.1 查看现有服务(查看)2-1

2.1.2 停止不必要的服务(必做)2-7

2.1.3 关闭ipv6(可选)2-8

2.1.4 修改ssh默认端口22(可选)2-10

2.1.5 vsftp服务禁止匿名登录(必做)2-10

2.1.6 停止gssftp(必做)2-10

2.1.7 设置NFS共享目录的访问权限(可选)2-11

2.1.8 系统安装补丁(必做)2-11

2.1.9 升级openssh(必选)2-11

2.1.10 禁止Ctrl+Alt+Delete重新启动机器(必选)2-13

2.1.11 系统在登陆时暴露有关操作系统版本信息(必选)2-13

2.1.12 禁止接收、转发源路由数据包2-14

2.1.13 修改snmpd.conf中的默认团体名2-14

2.1.14 禁止icmp重定向(手动配置)2-14

2.1.15 vsftp安全传输(必做)2-15

2.1.16 vsftp限制用户目录(必做)2-15

2.1.17 FTP登录显示Banner(必做)2-15

2.1.18 ssh登录显示Banner(必做)2-16

2.1.19 检查是否设置屏幕锁定2-16

图目录

未找到图形项目表。

表目录

未找到图形项目表。

账号安全

密码规则

密码长度、有效期(必做)

/etc/login.defs文件是当创建用户时的一些规划，比如创建用户时，是否需要家目录，UID和GID的范围；用户的期限等等，这个文件是可以通过root来定义的

PASS_MAX_DAYS 90

PASS_MIN_DAYS 6 ----两次改变密码之间相距的最小天数，为零时代表任何时候都可以更改密码

PASS_MIN_LEN 6 ----密码最小长度

PASS_WARN_AGE 30 ----在密码过期之前警告的天数

注意：以上只对之