linux安全基线加固

安全基线加固

一、帐号与口令-用户口令设置, 配置用户口令强度检查达到12位,要求用户口令包括数字、小写字母、大写字母和特殊符号4类中至少2类。

[root@www ~]# vim /etc/pam.d/system-auth

二、 帐号与口令-检查是否存在除root之外UID为0的用户

操作步骤:
执行:awk -F: '(3 == 0) { print1 }' /etc/passwd
返回值包括“root”以外的条目,则低于安全要求。

三、帐号与口令-检查是否存在如下不必要账户:lp, sync, shutdown, halt, news,

uucp, operator, games, gopher等,
操作步骤:
执行:cat /etc/passwd
如果不使用,用以下命令进行删除。

四:给不同的用户分配不同的帐号,避免多个用户共享帐号。

至少分配root,auditor,operator角色。

五:设置帐号在3次连续尝试认证失败后锁定,锁定时间为1分钟,避免用户口

令被暴力破解。

步骤:建立/var/log/faillog文件并设置权限骤
touch /var/log/faillog
chmod 600 /var/log/faillog

编辑/etc/pam.d/system-auth文件,在
auth required pam_env.so后面添加
auth required pam_tally.so onerr=fail deny=3 unlock_time=60

六:帐号与口令-检查除ROOT外是否有其他账户拥有shell权限

执行:cat /etc/passwd观察是否有非root账户设置/bin/bash或/bin/sh权限
无特殊应用情况下,如发现上述账户,则低于安全要求

七:帐号与口令-远程连接的安全性配置

步骤:执行:find / -name .netrc,检查系统中是否有.netrc文件;
执行:find / -name .rhosts ,检查系统中是否有.rhosts文件

返回值包含以上条件,则低于安全要求。
如无必要,删除这两个文件

八:限制ssh连接的IP配置

配置tcp_wrappers,限制允许远程登陆系统的IP范围。

参考配置操作
编辑/etc/hosts.deny
添加sshd:ALL

编辑/etc/hosts.allow
添加
sshd:168.8.44.0/255.255.255.0#允许168.8.44.0网段远程登陆
sshd:168.8.43.0/255.255.255.0#允许168.8.43.0网段远程登陆

1、判定条件
只有网管网段可以ssh登陆系统。
2、检测操作
cat /etc/hosts.deny
cat /etc/hosts.allow

九:用户的umask安全配置

执行:more /etc/profile more /etc/csh.login more /etc/csh.cshrc more
/etc/bashrc检查是否包含umask值

补充操作说明:vi /etc/profile
建议设置用户的默认umask=077

十:文件系统-查找未授权的SUID/SGID文件

用下面的命令查找系统中所有的SUID和SGID程序,执行:

此题可以用shell脚本执行
[root@www Desktop]# vim 111.sh
####编辑一下内容
#!/bin/bash
for PART in `grep -v ^# /etc/fstab | awk '($6 != "0") {print $2 }'`; do 
find $PART \( -perm -04000 -o -perm -02000 \) -type f -xdev -print 
done
[root@www Desktop]#  chmod +x 111.sh
[root@www Desktop]#  ./111/sh

#!/bin/bash
for PART in `grep -v ^# /etc/fstab | awk '($6 != "0") {print $2 }'`; do 
find $PART \( -perm -04000 -o -perm -02000 \) -type f -xdev -print 
done

for PART in `grep -v ^# /etc/fstab | awk '($6 != "0") {print $2 }'`; do 
find $PART \( -perm -04000 -o -perm -02000 \) -type f -xdev -print 
done

若存在未授权的文件,则低于安全要求。


十一:检查任何人都有写权限的目录

在系统中定位任何人都有写权限的目录用下面的命令:

for PART in `awk '($3 == "ext2" || $3 == "ext3") \
{ print $2 }' /etc/fstab`; do 
find $PART -xdev -type d \( -perm -0002 -a ! -perm -1000 \) -print 
done

十二、查找任何人都有写权限的文件

在系统中定位任何人都有写权限的文件用下面的命令:

for PART in `grep -v ^# /etc/fstab | awk '($6 != "0") {print $2 }'`; do 
find $PART -xdev -type f \( -perm -0002 -a ! -perm -1000 \) -print 
done

若返回值非空,则低于安全要求。

十三、检查没有属主的文件

定位系统中没有属主的文件用下面的命令:

for PART in `grep -v ^# /etc/fstab | awk '($6 != "0") {print $2 }'`; do 
find $PART -nouser -o -nogroup -print 
done

注意:不用管“/dev”目录下的那些文件

补充操作说明
发现没有属主的文件往往就意味着有黑客入侵你的系统了。不能允许没有属
主的文件存在。如果在系统中发现了没有属主的文件或目录,先查看它的完
整性,如果一切正常,给它一个属主。有时候卸载程序可能会出现一些没有
属主的文件或目录,在这种情况下可以把这些文件和目录删除掉

十四、检查异常隐含文件
用“find”程序可以查找到这些隐含文件。例如:
[root@www ~]# find / -xdev -name ".." -print
/usr/share/man/man1/..1.gz
[root@www ~]# find / -xdev -name ".." -print |cat -v
/usr/share/man/man1/..1.gz
同时也要注意象“.xx”和“.mail”这样的文件名的。(这些文件名看起来都很象正常的文件名)

若返回值非空,则低于安全要求。

补充操作说明
在系统的每个地方都要查看一下有没有异常隐含文件(点号是起始字符的,
用“ls”命令看不到的文件),因为这些文件可能是隐藏的黑客工具或者其它
一些信息(口令破解程序、其它系统的口令文件,等等)。在UNIX/LINUX
下,一个常用的技术就是用一些特殊的名,如:“…”、“.. ”(点点空格)
或“..^G”(点点control-G),来隐含文件或目录。

十五、日志审计-syslog登录事件记录

执行命令:more /etc/rsyslog.conf
查看参数authpriv值
authpriv.* /var/log/secure

若未对所有登录事件都记录,则低于安全要求。

十六、Linux日志增强要求项

执行命令:
chattr +a /var/log/messages
chattr +i /var/log/messages.*
chattr +i /etc/shadow
chattr +i /etc/passwd
chattr +I /etc/group

十七、操作系统超时注销

参考配置操作
编辑/etc/profile文件,添加
TMOUT=300
用户登陆后如果300秒内没有做任何操作,则自动注销登陆。

十八、禁用不必要服务

根据实际情况,关闭不必要的系统服务,如:finger,kudzu,isdn,nfs,apm,
sound,pcmcia,vsftpd, rhnsd,Bluetooth,sendmail,lpd,netfs,telnet,RPC,imap
等服务。

在无特殊应用情况下,若有上述提到的服务开启,则不符合要求。

这是错的

以下是对的

[root@www ~]# systemctl start vsftpd
[root@www ~]#
[root@www ~]# ps ax |grep vsftpd
 22769 pts/1    S+     0:00 grep --color=auto vsftpd
[root@www ~]# 
[root@www ~]# systemctl stop vsftpd
[root@www ~]# 

[root@www ~]# systemctl list-units|grep running
proc-sys-fs-binfmt_misc.automount                                                   loaded active running   Arbitrary Executable File Formats File System Automount Point
session-1.scope                                                                     loaded active running   Session 1 of user root
session-14.scope                                                                    loaded active running   Session 14 of user root
abrt-oops.service                                                                   loaded active running   ABRT kernel log watcher
abrt-xorg.service                                                                   loaded active running   ABRT Xorg log watcher
abrtd.service                                                                       loaded active running   ABRT Automated Bug Reporting Tool
accounts-daemon.service                                                             loaded active running   Accounts Service
alsa-state.service                                                                  loaded active running   Manage Sound Card State (restore and store)
atd.service                                                                         loaded active running   Job spooling tools
auditd.service                                                                      loaded active running   Security Auditing Service
avahi-daemon.service                                                                loaded active running   Avahi mDNS/DNS-SD Stack
bolt.service                                                                        loaded active running   Thunderbolt system service
chronyd.service                                                                     loaded active running   NTP client/server
colord.service                                                                      loaded active running   Manage, Install and Generate Color Profiles
crond.service                                                                       loaded active running   Command Scheduler
cups.service                                                                        loaded active running   CUPS Printing Service
dbus.service                                                                        loaded active running   D-Bus System Message Bus
fwupd.service                                                                       loaded active running   Firmware update daemon
gdm.service                                                                         loaded active running   GNOME Display Manager
gssproxy.service                                                                    loaded active running   GSSAPI Proxy Daemon
httpd.service                                                                       loaded active running   The Apache HTTP Server
irqbalance.service                                                                  loaded active running   irqbalance daemon
ksmtuned.service                                                                    loaded active running   Kernel Samepage Merging (KSM) Tuning Daemon
libstoragemgmt.service                                                              loaded active running   libstoragemgmt plug-in server daemon
libvirtd.service                                                                    loaded active running   Virtualization daemon
lvm2-lvmetad.service                                                                loaded active running   LVM2 metadata daemon
ModemManager.service                                                                loaded active running   Modem Manager
NetworkManager.service                                                              loaded active running   Network Manager
packagekit.service                                                                  loaded active running   PackageKit Daemon
polkit.service                                                                      loaded active running   Authorization Manager
postfix.service                                                                     loaded active running   Postfix Mail Transport Agent
rngd.service                                                                        loaded active running   Hardware RNG Entropy Gatherer Daemon
rpcbind.service                                                                     loaded active running   RPC bind service
rsyslog.service                                                                     loaded active running   System Logging Service
rtkit-daemon.service                                                                loaded active running   RealtimeKit Scheduling Policy Service
smartd.service                                                                      loaded active running   Self Monitoring and Reporting Technology (SMART) Daemon
sshd.service                                                                        loaded active running   OpenSSH server daemon
systemd-journald.service                                                            loaded active running   Journal Service
systemd-logind.service                                                              loaded active running   Login Service
systemd-udevd.service                                                               loaded active running   udev Kernel Device Manager
tuned.service                                                                       loaded active running   Dynamic System Tuning Daemon
udisks2.service                                                                     loaded active running   Disk Manager
upower.service                                                                      loaded active running   Daemon for power management
vgauthd.service                                                                     loaded active running   VGAuth Service for open-vm-tools
vmtoolsd.service                                                                    loaded active running   Service for virtual machines hosted on VMware
wpa_supplicant.service                                                              loaded active running   WPA Supplicant daemon
avahi-daemon.socket                                                                 loaded active running   Avahi mDNS/DNS-SD Stack Activation Socket
cups.socket                                                                         loaded active running   CUPS Printing Service Sockets
dbus.socket                                                                         loaded active running   D-Bus System Message Bus Socket
lvm2-lvmetad.socket                                                                 loaded active running   LVM2 metadata daemon socket
rpcbind.socket                                                                      loaded active running   RPCbind Server Activation Socket
systemd-journald.socket                                                             loaded active running   Journal Socket
systemd-udevd-control.socket                                                        loaded active running   udev Control Socket
systemd-udevd-kernel.socket                                                         loaded active running   udev Kernel Socket
[root@www ~]#
最后编辑于
©著作权归作者所有,转载或内容合作请联系作者
  • 人面猴
    序言:七十年代末,一起剥皮案震惊了整个滨河市,随后出现的几起案子,更是在滨河造成了极大的恐慌,老刑警刘岩,带你破解...
    沈念sama阅读 196,264评论 5 462
  • 死咒
    序言:滨河连续发生了三起死亡事件,死亡现场离奇诡异,居然都是意外死亡,警方通过查阅死者的电脑和手机,发现死者居然都...
    沈念sama阅读 82,549评论 2 373
  • 救了他两次的神仙让他今天三更去死
    文/潘晓璐 我一进店门,熙熙楼的掌柜王于贵愁眉苦脸地迎上来,“玉大人,你说我怎么就摊上这事。” “怎么了?”我有些...
    开封第一讲书人阅读 143,389评论 0 325
  • 道士缉凶录:失踪的卖姜人
    文/不坏的土叔 我叫张陵,是天一观的道长。 经常有香客问我,道长,这世上最难降的妖魔是什么? 我笑而不...
    开封第一讲书人阅读 52,616评论 1 267
  • 港岛之恋(遗憾婚礼)
    正文 为了忘掉前任,我火速办了婚礼,结果婚礼上,老公的妹妹穿的比我还像新娘。我一直安慰自己,他们只是感情好,可当我...
    茶点故事阅读 61,461评论 5 358
  • 恶毒庶女顶嫁案:这布局不是一般人想出来的
    文/花漫 我一把揭开白布。 她就那样静静地躺着,像睡着了一般。 火红的嫁衣衬着肌肤如雪。 梳的纹丝不乱的头发上,一...
    开封第一讲书人阅读 46,351评论 1 273
  • 城市分裂传说
    那天,我揣着相机与录音,去河边找鬼。 笑死,一个胖子当着我的面吹牛,可吹牛的内容都是我干的。 我是一名探鬼主播,决...
    沈念sama阅读 36,776评论 3 387
  • 双鸳鸯连环套:你想象不到人心有多黑
    文/苍兰香墨 我猛地睁开眼,长吁一口气:“原来是场噩梦啊……” “哼!你这毒妇竟也来了?” 一声冷哼从身侧响起,我...
    开封第一讲书人阅读 35,414评论 0 255
  • 万荣杀人案实录
    序言:老挝万荣一对情侣失踪,失踪者是张志新(化名)和其女友刘颖,没想到半个月后,有当地人在树林里发现了一具尸体,经...
    沈念sama阅读 39,722评论 1 294
  • 护林员之死
    正文 独居荒郊野岭守林人离奇死亡,尸身上长有42处带血的脓包…… 初始之章·张勋 以下内容为张勋视角 年9月15日...
    茶点故事阅读 34,760评论 2 314
  • 白月光启示录
    正文 我和宋清朗相恋三年,在试婚纱的时候发现自己被绿了。 大学时的朋友给我发了我未婚夫和他白月光在一起吃饭的照片。...
    茶点故事阅读 36,537评论 1 326
  • 活死人
    序言:一个原本活蹦乱跳的男人离奇死亡,死状恐怖,灵堂内的尸体忽然破棺而出,到底是诈尸还是另有隐情,我是刑警宁泽,带...
    沈念sama阅读 32,381评论 3 315
  • 日本核电站爆炸内幕
    正文 年R本政府宣布,位于F岛的核电站,受9级特大地震影响,放射性物质发生泄漏。R本人自食恶果不足惜,却给世界环境...
    茶点故事阅读 37,787评论 3 300
  • 男人毒药:我在死后第九天来索命
    文/蒙蒙 一、第九天 我趴在偏房一处隐蔽的房顶上张望。 院中可真热闹,春花似锦、人声如沸。这庄子的主人今日做“春日...
    开封第一讲书人阅读 29,030评论 0 19
  • 一桩弑父案,背后竟有这般阴谋
    文/苍兰香墨 我抬头看了看天上的太阳。三九已至,却和暖如春,着一层夹袄步出监牢的瞬间,已是汗流浃背。 一阵脚步声响...
    开封第一讲书人阅读 30,304评论 1 252
  • 情欲美人皮
    我被黑心中介骗来泰国打工, 没想到刚下飞机就差点儿被人妖公主榨干…… 1. 我叫王不留,地道东北人。 一个月前我还...
    沈念sama阅读 41,734评论 2 342
  • 代替公主和亲
    正文 我出身青楼,却偏偏与公主长得像,于是被迫代替她去往敌国和亲。 传闻我的和亲对象是个残疾皇子,可洞房花烛夜当晚...
    茶点故事阅读 40,943评论 2 336

推荐阅读更多精彩内容

  • Linux安全检查基线
    1.检查用户登录情况 lastlog命令,检查最后登录时间 w命令 lastb命令,检查登录失败日志 2.检查命令...
    捡书阅读 1,677评论 0 1
  • CentOS7.0系统安全加固手册
    一、用户帐号和环境……………………………………………………………. 2 二、系统访问认证和授权…………………………...
    大福技术阅读 5,930评论 0 5
  • Linux操作系统加固
    本帮助手册旨在指导系统管理人员或安全检查人员进行Linux操作系统的安全合规性检查和加固。 1. 账号和口令 1....
    LD_ee65阅读 407评论 0 6
  • CentOS系统安全加固常见方法
    关于Linux系统安全加固的具体实现脚本及基线检查规范,以供主机维护人员参考学习。 其中以下脚本主要实现的功能包括...
    大福技术阅读 6,536评论 1 3
  • Linux基础教程
    Linux基础教程 一、常用命令使用 1.1 常用命令使用 1.1.1 登录和退出Linux系统 1. 启动和登陆...
    Garfield猫阅读 549评论 0 3