一. 账户安全

1.1 锁定系统中多余的自建帐号

检查方法:

执行命令

#cat /etc/passwd

#cat /etc/shadow

查看账户、口令文【kǒu lìng wén】件【jiàn】，与系统管理员确认不必要的【bì yào de】🔯账号。对于一些保留😮的系统伪帐户【wěi zhàng hù】🏩如【rú】😖：bin, sys，adm，uucp，lp, nuucp，hpdb, www, daemon等可根🦋据需要【jù xū yào】锁定登陆🙈。

备份方法：

#cp -p /etc/passwd /etc/passwd_bak

#cp -p /etc/shadow /etc/shadow_bak

加固方法:

使用命【shǐ yòng mìng】令🔶passwd -l <用户名💽>锁定不【suǒ dìng bú】必要的账号。

使用命🦇令passwd -u <用户名【yòng hù míng】>解锁需要恢复🕋的账号【de zhàng hào】。

1.2设置系统口令策略

检查方法：

使用命令

#cat /etc/login.defs|grep PASS查看密📙码策略【mǎ cè luè】设置

备份方法：

cp -p /etc/login.defs /etc/login.defs_bak

加固方法：

#vi /etc/login.defs修改配🖊置文件【zhì wén jiàn】

PASS_MAX_DAYS 90 #新建用户的密【hù de mì】⛷码最长🍲使用天数【shù】

PASS_MIN_DAYS 0 #新建用户的密码最短🎮使用天【shǐ yòng tiān】😂数【shù】

PASS_WARN_AGE 7 #新建用👻户的密🎰码到期【mǎ dào qī】提前提【tí qián tí】醒天数

PASS_MIN_LEN 9 #最小密【zuì xiǎo mì】🕛码长度9

1.3禁用root之外的超级用户

检查方法：

#cat /etc/passwd 查看口【chá kàn kǒu】令文件【jiàn】📻，口令文件【jiàn】📻格式如下📤：

login_name：password：user_ID：group_ID：comment：home_dir：command

login_name：用户名

password：加密后的用户密码

user_ID：用户【yòng hù】ID，(1 ~ 6000) 若用户【yòng hù】ID=0，则该用🌅户拥有超级用户【yòng hù】的权限。查看此处是否【chù shì fǒu】💨有多个【yǒu duō gè】♈ID=0。

group_ID：用户组ID

comment：用户全名或其它注释信息

home_dir：用户根目录

command：用户登录后的执行命令

备份方法：

#cp -p /etc/passwd /etc/passwd_bak

加固方法：

使用命😪令passwd -l <用户【yòng hù】🚚名>锁定不【suǒ dìng bú】💂必要的【bì yào de】超级账户🚚。

使用命【shǐ yòng mìng】🌫令passwd -u <用户名【yòng hù míng】>解锁需🐴要恢复【yào huī fù】➿的超级账户。

风险🛳：需要与💬管理员【guǎn lǐ yuán】确认此【què rèn cǐ】🦍超级用户的用途【tú】。

1.4 限制能够su为root的用户

检查方法：

#cat /etc/pam.d/su,查看是【chá kàn shì】否有auth required /lib/security/pam_wheel.so这样的⛓配置条目【mù】✔

备份方法【fǎ】🎽：#cp -p /etc/pam.d /etc/pam.d_bak

加固方法：

#vi /etc/pam.d/su

在头部添加：

auth required /lib/security/pam_wheel.so group=wheel

这样👪，只有【zhī yǒu】wheel组的用户可以📬su到【dào】root

#usermod -G10 test 将test用户加【yòng hù jiā】🌌入到👃wheel组【zǔ】

当系统🕡验证出🎼现问题【xiàn wèn tí】时【shí】，首先应📄当检查/var/log/messages或者/var/log/secure中的输【zhōng de shū】出信息，根据这🈳些信息判断用【pàn duàn yòng】户账号【hù zhàng hào】➖的有效

性🦖。如果是因为PAM验证故障【zhàng】🚁，而引起🎈root也无法登录【dēng lù】🍌，只能使【zhī néng shǐ】用single user或者【huò zhě】rescue模式进行排错。

1.5 检查shadow中空口令帐号

检查方法：

#awk -F: '( == "") { print }' /etc/shadow

备份方🦌法【fǎ】：cp -p /etc/shadow /etc/shadow_bak

加固方法👎：对空口【duì kōng kǒu】令账号【lìng zhàng hào】进行锁定，或要求🏥增加密码【mǎ】🧔

二、最小化服务

2.1 停止或禁用与承载业务无关的服务

检查方法：

#who –r或【huò】runlevel 查看当🤣前init级别【jí bié】🎤

#chkconfig --list 查看所【chá kàn suǒ】有服务🎽的状态

备份方法：记录需要关闭服务的名称

加固方法：

#chkconfig --level <服务名> on|off|reset 设置服务在个🍙init级别下【jí bié xià】⛲开机是【kāi jī shì】否启动

三、数据访问控制

3.1 设置合理的初始文件权限

检查方法：

#cat /etc/profile 查看【chá kàn】umask的值👩

备份方法：

#cp -p /etc/profile /etc/profile_bak

加固方法：

#vi /etc/profile

umask=027

风险：会修改🧜新建文【xīn jiàn wén】件的默💣认权限⛓，如果该服务器是【shì】👞WEB应用，则此项【zé cǐ xiàng】谨慎修【jǐn shèn xiū】改。

四、网络访问控制

4.1 使用SSH进行管理

检查方法：

#ps –aef | grep sshd 查看有【chá kàn yǒu】🧕无此服务

备份方法：

加固方法：

使用命令开启ssh服务

#service sshd start

风险：改变管理员的使用习惯

4.2 设置访问控制【wèn kòng zhì】🈷策略限【cè luè xiàn】制能够管理本✒机的😔IP地址【dì zhǐ】

检查方法：

#cat /etc/ssh/sshd_config 查看有无【wú】AllowUsers的语句🔲

备份方法：

#cp -p /etc/ssh/sshd_config /etc/ssh/sshd_config_bak

加固方法：

#vi /etc/ssh/sshd_config，添加以【tiān jiā yǐ】🗒下语句

AllowUsers *@10.138.*.* 此句意【cǐ jù yì】为【wéi】🈯：仅允许【jǐn yǔn xǔ】10.138.0.0/16网段所有用户通过🏃ssh访问🎢

保存后重启ssh服务

#service sshd restart

风险：需要和管理员确认能够管理的IP段

4.3 禁止root用户远程登陆

检查方法：

#cat /etc/ssh/sshd_config 查看【chá kàn】✉PermitRootLogin是否为no

备份方法：

#cp -p /etc/ssh/sshd_config /etc/ssh/sshd_config_bak

加固方法：

#vi /etc/ssh/sshd_config

PermitRootLogin no

保存后重启ssh服务

service sshd restart

4.4 限定信任主机

检查方法：

#cat /etc/hosts.equiv 查看其😠中的主机【jī】

#cat /$HOME/.rhosts 查看其中的主【zhōng de zhǔ】🍚机

备份方法：

#cp -p /etc/hosts.equiv /etc/hosts.equiv_bak

#cp -p /$HOME/.rhosts /$HOME/.rhosts_bak

加固方法：

#vi /etc/hosts.equiv 删除其中不必要的主【yào de zhǔ】🍪机【jī】🥧

#vi /$HOME/.rhosts 删除其中不必【zhōng bú bì】🐂要的主🏥机【jī】

风险🚯：在多机【zài duō jī】互备的环境中，需要保【xū yào bǎo】留其他🍊主机的IP可信任【kě xìn rèn】📘。

4.5 屏蔽登录banner信息

检查方法：

#cat /etc/ssh/sshd_config 查看文💪件中是【jiàn zhōng shì】否存在Banner字段，或【huò】🏭banner字段为NONE

#cat /etc/motd 查看文件内容【jiàn nèi róng】，该处内容将作🥘为⛰banner信息显【xìn xī xiǎn】示给登🧒录用户【lù yòng hù】。

备份方法：

#cp -p /etc/ssh/sshd_config /etc/ssh/sshd_config_bak

#cp -p /etc/motd /etc/motd_bak

加固方法：

#vi /etc/ssh/sshd_config

banner NONE

#vi /etc/motd

删除全部内容或更新成自己想要添加的内容

风险：无可见风险

4.6 防止误⛏使用Ctrl+Alt+Del重启系【chóng qǐ xì】统【tǒng】🦑

检查方法：

#cat /etc/inittab|grep ctrlaltdel 查看输入行是🔤否被注【fǒu bèi zhù】⏳释【shì】

备份方法：

#cp -p /etc/inittab /etc/inittab_bak

加固方法：

#vi /etc/inittab

在行开【zài háng kāi】🍇头添加注释符🀄号【hào】“#”

#ca::ctrlaltdel:/sbin/shutdown -t3 -r now

五、用户鉴别

5.1 设置帐户锁定【hù suǒ dìng】🗝登录失【dēng lù shī】败锁定【bài suǒ dìng】次数😊、锁定时间🤕

检查方法：

#cat /etc/pam.d/system-auth 查看有无【wú】🕘auth required pam_tally.so条目的【tiáo mù de】设置🏷

备份方法：

#cp -p /etc/pam.d/system-auth /etc/pam.d/system-auth_bak

加固方法：

#vi /etc/pam.d/system-auth

auth required pam_tally.so onerr=fail deny=6 unlock_time=300 设置为【shè zhì wéi】💏密码连续错误6次锁定【cì suǒ dìng】🔱，锁定时【suǒ dìng shí】间300秒🌇

解锁用🐀户【hù】 faillog -u <用户【hù】名> -r

风险♐：需要PAM包的支【bāo de zhī】持【chí】;对【duì】pam文件的🚪修改应🗞仔细检📝查，一旦出【yī dàn chū】现错误会导致🌘无法登陆【lù】;

当系统【dāng xì tǒng】验证出现问题【xiàn wèn tí】时🚙，首先应当检查/var/log/messages或者/var/log/secure中的输【zhōng de shū】出信息，根据这🏺些信息🤗判断用【pàn duàn yòng】🥒户账号【hù zhàng hào】的有效🏯性。

5.2 修改帐户TMOUT值，设置自【shè zhì zì】动注销🚨时间【shí jiān】🛶

检查方法：

#cat /etc/profile 查看有无【wú】TMOUT的设置😋

备份方法：

#cp -p /etc/profile /etc/profile_bak

加固方法：

#vi /etc/profile

增加

TMOUT=600 无操作600秒后自【miǎo hòu zì】动退出😡

风险：无可见风险

5.3 Grub/Lilo密码

检查方法：

#cat /etc/grub.conf|grep password 查看grub是否设【shì fǒu shè】🌿置密码

#cat /etc/lilo.conf|grep password 查看【chá kàn】👓lilo是否设置密码

备份方法：

#cp -p /etc/grub.conf /etc/grub.conf_bak

#cp -p /etc/lilo.conf /etc/lilo.conf_bak

加固方法：为grub或lilo设置密码

风险：etc/grub.conf通常会【tōng cháng huì】链接到🌶/boot/grub/grub.conf

5.4 限制FTP登录

检查方法：

#cat /etc/ftpusers 确认是🌫否包含用户名【yòng hù míng】，这些用户名【yòng hù míng】不允许登👣录【lù】🐒FTP服务【fú wù】

备份方法：

#cp -p /etc/ftpusers /etc/ftpusers_bak

加固方法：

#vi /etc/ftpusers 添加行，每行包含一个🚿用户名🥅，添加的🥋用户将【yòng hù jiāng】被禁止登录【dēng lù】FTP服务【fú wù】

风险：无可见风险

5.5 设置Bash保留历史命令的条数

检查方法：

#cat /etc/profile|grep HISTSIZE=

#cat /etc/profile|grep HISTFILESIZE= 查看保【chá kàn bǎo】🛸留历史🥤命令的条数【tiáo shù】

备份方法：

#cp -p /etc/profile /etc/profile_bak

加固方法：

#vi /etc/profile

修改HISTSIZE=5和HISTFILESIZE=5即保留🤴最新执【zuì xīn zhí】🌪行的5条命令【tiáo mìng lìng】

六、审计策略

6.1 配置系统日志策略配置文件

检查方法：

#ps –aef | grep syslog 确认syslog是否启用【yòng】🕛

#cat /etc/syslog.conf 查看🌧syslogd的配置，并确认日志文【rì zhì wén】件是否📡存在【cún zài】

系统日【xì tǒng rì】志(默认🕣)/var/log/messages

cron日志🍾(默认【mò rèn】)/var/log/cron

安全日【ān quán rì】志(默认😵)/var/log/secure

备份方法：

<