zoukankan      html  css  js  c++  java

  • SUSE 系统加固

    1.身份鉴别

    1.1   检查是否设置口令复杂度             

    #vi /etc/pam.d/common-password  改为如下两行:

    password requisite pam_cracklib.so minlen=8 ucredit=-1 lcredit=-1 dcredit=-1 
    password required pam_unix2.so use_authtok nullok

    密码要求: (minlen=8)最少8位,(ucredit=-1)至少包含1个大写字母,(lcredit=-1)至少包含一个小写字母,(dcredit=-1)至少包含一个数字个数,(ocredit=-1)至少包含一个特殊字符

    1.2   检查是否设置口令生存期

    #vi /etc/login.defs  中确保为如下值

            PASS_MAX_DAYS 90

    1.3   检查是否删除无关账号   

    锁定如下账号                 锁定后登陆页面不会显示该用户

    #usermod -L games

    #usermod -L nobody

    2.访问控制

    2.1   检查是否配置登陆超时时间设置

    #vi /etc/profile  确保如下设置

    export TMOUT=600

    2.2   检查是否设置文件与目录缺省权限

    #vi /etc/profile  确保如下设置

    umask 027

    2.3   普通用户不允许Root登录

    vi /etc/pam.d/su

    添加 auth suffcient pam_rootok.so

    添加auth required pam_wheel.so group=wheel

    cat /etc/group

    查看是否存在wheel组,没有则添加组wheel

    2.4   检查是否记录cron行为日志

    #vi /etc/rsyslog.conf   确保开启如下设置

    cron.*   /var/log/cron

    如果/var/log/cron文件不存在:

    #touch /var/log/cron

    #chmod 775 /var/log/cron

    重启生效

    #systemctl restart rsyslog.service

    SUSE11-SP4启动:

    /etc/init.d/syslog restart

    2.5   检查是否日志文件安全   rwx  rx rx

    确保如下日志文件的权限为755,其他用户不可修改

    /var/log/messages      rwx rwx rx

    确保如下日志文件的权限为775,其他用户不可修改

    /var/log/secure   

    /var/log/spooler

    /var/log/maillog

    /var/log/mail

    /var/log/boot.log

    /var/log/cron

    2.6   检查是否配置用户所需最小权限

    检查如下文件的权限是否设置正确:

    /etc/passwd    -   644

    /etc/shadow    -   600

    /etc/group     -    644

    2.7   检查是否修改系统Banner

    隐藏系统banner信息

    #mv /etc/issue /etc/issue.bak

    #mv /etc/issue.net /etc/issue.net.bak

    2.8    

    vi /etc/vsftpd.conf (或者/etc/vsftpd/vsftpd.conf)

    修改ftpd_banner=”Authorized users only. All activity will be monitored and reported.”

    重启:/ec/init.d/vsftpd restart(或者systemctl restart vsftpd.service)

    3.安全审计

    3.1   检查是否启用syslog日志审计

    #vi /etc/rsyslog.conf   确保开启如下设置,

    authpriv.*   /var/log/secure

    没有文件则添加

    touch /var/log/secure

    chmod 775 /var/log/secure

    如果更改了配置文件,需要重启生效

    #systemctl restart rsyslog.service

    4.入侵防范

    4.1   检查是否关闭不必要的服务和端口

    关闭服务的方法如下:

    # systemctl stop service

    #systemctl disable service

    检查如下服务是否关闭:

    检查方法:systemctl status service

    daytime

    time

    echo

    discard

    chargen

    sendmail

    ntalk

    ident

    printer

    bootps

    tftp

    kshell

    klogin

    lpd

    nfs

    nfs.lock

    ypbind

    ftp

    5.资源控制

    5.1   禁用telnet协议

    #vi /etc/services  注释掉如下行

        #telnet             23/tcp       # Telnet  [Jon_Postel] [RFC854]

       #telnet             23/udp       # Telnet  [Jon_Postel] [RFC854]

    重启服务:service xinetd restart

    SUSE11-SP4:

    区别:systemctl命令没有
  • 相关阅读:
    起步学习软件开发(.Net 方向)的指导
    Lesktop开源JS控件库
    软件岗位职责
    asp.net 获取网站根目录总结
    微软是怎样做测试的
    打造WebIM
    CodeSmith 系列一
    Crack .NET
    Visual Studio IDE 实用小技巧3
    程序员公司的选择
  • 原文地址:https://www.cnblogs.com/A121/p/9941580.html
Copyright © 2011-2022 走看看