51CTO下载-Redhat+Linux加固

Redhat Linux安全加固

一. 系统信息

查看内核信息 查看所有软件包 查看主机名 查看网络配置 查看路由表 查看开放端口 查看当前进程 uname -a rpm -qa hostname ifconfig -a netstat -rn netstat -an ps -aux 二. 账号

2.1 禁用无用账号

操作目的 检查方法 减少系统无用账号，降低风险 使用命令“cat /etc/passwd”查看口令文件，与系统管理员确认不必要的账号 FTP等服务的账号，如果不需要登录系统，shell应该/sbin/nologin 加固方法 使用命令“passwd -l <用户名>”锁定不必要的账号 使用命令“passwd -u <用户名>”解锁不必要的账号 是否实施 备注

需要与管理员确认此项操作不会影响到业务系统的登录 2.2 检查特殊账号

操作目的 检查方法 查看空口令和root权限的账号 使用命令“awk -F: '($2==\”查看空口令账号 使用命令“awk -F: '($3==0)' /etc/passwd”查看UID为零的账号

加固方法 使用命令“passwd <用户名>”为空口令账号设定密码 UID为零的账号应该只有root 是否实施 备注

2.3 添加口令策略

操作目的 检查方法 加强口令的复杂度等，降低被猜解的可能性 使用命令“cat /etc/login.defs|grep PASS”和“cat /etc/pam.d/system-auth”查看密码策略设置 加固方法 1，使用命令“vi /etc/login.defs”修改配置文件 PASS_MAX_DAYS 90 #新建用户的密码最长使用天数 PASS_MIN_DAYS 0 #新建用户的密码最短使用天数PASS_WARN_AGE 7 #新建用户的密码到期提前提醒天数 使用chage命令修改用户设置，例如： chage -m 0 -M 30 -E 2000-01-01 -W 7 <用户名> 表示：将此用户的密码最长使用天数设为30，最短使用天数设为0，密码2000年1月1日过期，过期前7天里警告用户 2，设置连续输错3次密码，账号锁定5分钟 auth required pam_env.so auth required pam_tally.so onerr=fail deny=3 unlock_time=300 auth sufficient pam_unix.so nullok try_first_pass auth requisite pam_succeed_if.so uid >= 500 quiet auth required pam_deny.so 注：解锁用户 faillog -u <用户名> -r 是否实施 备注

锁定用户功能谨慎使用，密码策略对root不生效 2.4 检查Grub/Lilo密码

操作目的

查看系统引导管理器是否设置密码 检查方法 使用命令“cat /etc/grub.conf|grep password”查看grub是否设置密码 使用命令“cat /etc/lilo.conf|grep password”查看lilo是否设置密码 加固方法 是否实施 备注

为grub或lilo设置密码 /etc/grub.conf通常会链接到/boot/grub/grub.conf 2.5 限制FTP登录

操作目的 检查方法 禁止不必要的用户登录FTP服务，降低风险 使用命令“cat /etc/ftpusers”查看配置文件，确认是否包含用户名，这些用户名不允许登录FTP服务 加固方法 使用命令“vi /etc/ftpusers”修改配置文件，添加行，每行包含一个用户名，禁止此用户登录FTP服务 是否实施 备注 2.6 限制用户su

操作目的 检查方法 限制能su到root的用户 使用命令“cat /etc/pam.d/su|grep pam_wheel.so”查看配置文件，确认是否有相关限制 加固方法 使用命令“vi /etc/pam.d/su”修改配置文件，添加行 例如：只允许test组用户su到root auth required pam_wheel.so group=test 是否实施 备注