linux安全基线检查内容

 

一:共享账号检查

配置名称:用户账号分配检查,避免共享账号存在配置要求:1、系统需按照实际用户分配账号; 2、避免不同用户间共享账号,避免用户账号和服务器间通信使用的账号共享。操作指南:参考配置操作:cat /etc/passwd查看当前所有用户的情况;检查方法:命令cat /etc/passwd查看当前所有用户的信息等。适用版本:Linux Redhat AS 3、Linux Redhat AS 4

二:多余账户锁定策略

配置名称:多余账户锁定策略配置要求:应锁定与设备运行、维护等工作无关的账号。操作指南:参考配置操作: 查看锁定用户: # cat /etc/password,查看哪些账户的shell域中为nologin;检查方法:人工检查:  # cat /etc/password后查看多余账户的shell域为nologin为符合; BVS基线检查:  多余账户处于锁定状态为符合。配置方法:锁定用户: 修改/etc/password文件,将需要锁定的用户的shell域设为nologin; 或通过#passwd –l username锁定账户; 只有具备超级用户权限的使用者方可使用#passwd –l username锁定用户,用#passwd –d username解锁后原有密码失效,登录需输入新密码。 补充操作说明: 一般情况下,需要锁定的用户:lp,nuucp,hpdb,www,demon适用版本:Linux Redhat AS 3、Linux Redhat AS 4

三:root账户远程登录限制

配置名称:root账户远程登录账户限制配置要求:1、限制具备超级管理员权限的用户远程登录。 2、远程执行管理员权限操作,应先以普通权限用户远程登录后,再切换到超级管理员权限账号后执行相应操作。操作指南:使用root账户远程尝试登陆检查方法:1、root远程登录不成功,提示“Not on system console”; 2、普通用户可以登录成功,而且可以切换到root用户;配置方法:修改/etc/ssh/sshd_config文件,将PermitRootLogin yes改为PermitRootLogin no,重启sshd服务。适用版本:Linux Redhat AS 3、Linux Redhat AS 4

四:口令复杂度策略

配置名称:操作系统口令复杂度策略配置要求:口令长度至少12位,并包括数字、小写字母、大写字母和特殊符号。操作指南:1、参考配置操作 # cat /etc/pam.d/system-auth,找到password模块接口的配置部分,找到类似如下的配置行: password requisite /lib/security/$ISA/pam_cr信息。比如:kern.* / mail.* 等等;可以将此处192.168.0.1替换为实际的IP或域名。 重新启动syslog服务,执行下列命令: services syslogd restart 2、补充操作说明 注意:*.*和@之间为一个Tab适用版本:Linux Redhat AS 3、Linux Redhat AS 4

十:设置history时间戳

配置名称:设置history时间戳配置要求:配置history时间戳,便于审计。操作指南: # cat /etc/bashrc查看是否有对应配置检查方法:已添加,如:“export HISTTIMEFORMAT="%F %T”配置为符合。配置方法:参考配置操作: 在/etc/bashrc文件中增加如下行: export HISTTIMEFORMAT="%F %T适用版本:Linux Redhat AS 4

十一:SSH登录配置

配置名称:SSH登录配置配置要求:系统应配置使用SSH等加密协议进行远程登录维护,并安全配置SSHD的设置。不使用TELENT进行远程登录维护。操作指南:1、查看SSH服务状态:# ps –elf|grep ssh; 2、查看telnet服务状态:# ps –elf|grep telnet。检查方法:1、 不能使用telnet进行远程维护; 2、 应使用SSH进行远程维护; 3、 SSH配置要符合如下要求; Protocol 2 #使用ssh2版本 X11Forwarding yes #允许窗口图形传输使用ssh加密 IgnoreRhosts yes#完全禁止SSHD使用.rhosts文件 RhostsAuthentication no #不设置使用基于rhosts的安全验证 RhostsRSAAuthentication no #不设置使用RSA算法的基于rhosts的安全验证 HostbasedAuthentication no #不允许基于主机白名单方式认证 PermitRootLogin no #不允许root登录 PermitEmptyPasswords no #不允许空密码 Banner /etc/motd #设置ssh登录时显示的banner 4、以上条件都满足为符合。配置方法:1、参考配置操作 编辑 sshd_config,添加相关设置,SSHD相关安全设置选项参考检查方法中的描述。 2、补充操作说明 查看SSH服务状态:# ps –elf|grep ssh适用版本:Linux Redhat AS 4

十二:关闭不必要的系统服务

配置名称:关闭不必要的系统服务配置要求:根据每台机器的不同角色,关闭不需要的系统服务。操作指南中的服务项提供参考,根据服务器的角色和应用情况对启动项进行修改。如无特殊需要,应关闭Sendmail、Telnet、Bind等服务。操作指南:执行命令 #chkconfig --list,查看哪些服务开放。检查方法:与管理员确认无用服务已关闭配置方法:1、参考配置操作 使用如下方式禁用不必要的服务 #service <服务名> stop #chkconfig --level 35 off 2、参考说明 Linux/Unix系统服务中,部分服务存在较高安全风险,应当禁用,包括: “lpd”,此服务为行式打印机后台程序,用于假脱机打印工作的UNIX后台程序,此服务通常情况下不用,建议禁用; “telnet”,此服务采用明文传输数据,登陆信息容易被窃取,建议用ssh代替; “routed”,此服务为路由守候进程,使用动态RIP路由选择协议,建议禁用; “sendmail”,此服务为邮件服务守护进程,非邮件服务器应将其关闭; “Bluetooth”,此服务为蓝牙服务,如果不需要蓝牙服务时应关闭; “identd”,此服务为AUTH服务,在提供用户信息方面与finger类似,一般情况下该服务不是必须的,建议关闭; “xfs”,此服务为Linux中X Window的字体服务,关于该服务历史上出现过漏洞操作指南:1、查看当前系统补丁版本 2、检查官网当前系统版本是否发布安全更新。检查方法:版本应保持为最新配置方法:通过访问https: //rhn.redhat.com/errata/下载补丁安装包,在打开的页面上,选择与自己使用相对应的系统后,点击连接进入补丁包下载列表界面,选择需要的补丁下载。 下载的补丁为rpm安装包,将该安装包复制到目标系统上,使用命令rpm –ivh xxx.rpm进行安装,随后重新启动系统, 检查所安装补丁的服务或应用程序是否运行正常,即完成该补丁的安装和升级工作。适用版本:Linux Redhat AS 3 Linux Redhat AS 4分类: 

版权声明:玥玥 发表于 2021-05-08 21:41:14。
转载请注明:linux安全基线检查内容 | 女黑客导航