1:账户管理
|
项目名称 |
禁用默认账户 |
|
实施目的 |
及时删除多余的、过期的帐户,避免共享帐户的存在,因为多余的账户和默认账户容易导致恶意用户和非授权用户直接通过这些账户获取系统的访问权限
|
|
操作步骤 |
(编辑文件需采用vi编辑器,vi文件名进入文件后,每次删除或输入前需输入i,输入完毕后按键盘左上角的Esc,然后输入:wq!按回车键,若修改中途输入错误不知如何操作时可按Esc,然后输入:q!)
|
2:密码复杂度策略
|
项目名称 |
密码复杂度策略 |
|
实施目的 |
口令长度不小于8位,由字母、数字和特殊字符组成,不得与账户名相同,避免口令被暴力破解。 |
|
操作步骤 |
使用vi编辑器编辑文件etc/pam.d/system.auth(vi 2:/etc/pam.d/system.auth),配置密码复杂度,在该文件文件中添加以下参数: password requisite pam_cracklib.so retry =3 minlen=8 ucredit=1 lcredit=1 dcredit=2 ocredit=1 注:retry:用户有几次出错的机会 minlen :最小密码长度 ucredit:大写字母至少几个 lcredit:小写字母最小几个 dcredit:数字至少几个 ocredit:其它特殊字符至少几个
|
3:登录失败锁定
|
项目名称 |
登录失败锁定 |
|
实施目的 |
用户登录失败锁定 |
|
操作步骤 |
使用vi编辑器编辑文件etc/pam.d/system.auth(vi /etc/pam.d/system.auth),配置密码复杂度,在该文件文件中添加以下参数: account required pam_tally2.so deny=5 unlock_time=300
|
4:用户口令周期策略
|
项目名称 |
用户口令周期策略 |
|
实施目的 |
设置账户口令的生存期不长于90天,避免密码泄露。 |
|
操作步骤 |
使用vi编辑器,编辑文件etc/login.defs (Vi /etc/login.defs),编辑一下参数: PASS_MAX_DAYS 90 //密码最大有效天数 PASS_MIN_DAYS 1 //密码修改之间最小天数 PASS_MIN_LEN 8 //密码最小长度 PASS_WARN_AGE 28 //密码失效前提前多少天告警 注意修改密码策略参数时。一定要在规定时间内修改密码。
|
5:特殊文件权限
|
项目名称 |
特殊文件权限 |
|
实施目的 |
/etc/passwd & /etc/shadow 、group分别为用户、密码和用户组文件,应严格控制文件权限避免被更改。 |
|
操作步骤 |
chmod 400 /etc/shadow chmod 644 /etc/passwd· chmod 644 /etc/group |
6:系统登录超时
|
项目名称 |
系统登录超时 |
|
实施目的 |
设置登录超时功能,避免在没注销其在系统的登录状态,被恶意用户利用或被非授权用户误用。 |
|
操作步骤 |
使用vi编辑器,编辑文件etc/ profile (vi /etc/profile),在文件里面加入TMOUT=300:。 |
7:限制单个账户对系统资源使用限度
|
项目名称 |
限制单个账户对系统资源使用限度 |
|
实施目的 |
根据需要限制单个用户对系统资源的最大或最小使用限度,避免某些用户占用的资源过多的系统资源,从而导致服务器因资源耗尽引起故障。 |
|
操作步骤 |
d5000 hard nproc 6000 d5000 soft nproc 6000 注:此配置表示d5000用户的最大进程数为6000 |
8:限制终端登录
|
项目名称 |
限制终端登录 |
|
实施目的 |
通过设定终端接入方式、网络地址范围等条件限制终端登录,可以避免非法用户的访问。 |
|
操作步骤 |
1.使用vi编辑器,编辑该文件如:vi /etc/hosts.allow 配置sshd:192.168.1.0/255.255.0:allow 使用vi编辑器,编辑该文件如:vi /etc/hosts.deny 配置sshd:all:deny |
9:修改umask值
|
项目名称 |
修改umask值 |
|
实施目的 |
修改umask值,限制设置用户创建文件的默认权限 |
|
操作步骤 |
# cd /etc # umask 027 # for file in profile csh.login d.profile d.login > do > echo umask 027 >> “$file” > done 这个需要重启系统生效。 或者是vi编辑文件etc/profile,在里面添加: umask 027 (重启生效) 再使用命令:source /etc/profile。 临时修改:umask 0027 (立即生效,重启后会还原默认值),如果因为业务不能重启,建议两项一起改。 |
10:禁用系统多余服务
|
项目名称 |
禁用系统多余服务 |
|
实施目的 |
关闭不需要的网络端口和服务 |
|
操作步骤 |
1.使用chkconfig命令: 让某个服务不自动启动:例如httpd:chkconfig –level 35 httpd off ;35指的是运行级别 让某个服务自动启动:例如httpd:chkconfig –level 35 httpd on; 查看所有服务的启动状态:chkconfig –list 查看某个服务的启动状态:chkconfig –list |grep httpd 2 telnet 单独关闭(telnet是嵌套在xinetd服务中的) /etc/xinetd.d/telnet文件中disable = no改为yes后重启xinetd服务 service xinetd restart 。 |
11:修改snmp团体字和修改snmp版本
|
项目名称 |
修改snmp默认团体字和snmp版本 |
|
实施目的 |
避免因为默认团体字被扫描泄露接口地址、主机名、路由表等。SNMP目前主流是第二版和第三版,第一版不安全。 |
|
操作步骤 |
|
12:root远程登录禁用
|
项目名称 |
root远程登录禁用 |
|
实施目的 |
应禁用root用户远程登录,应登陆后su切换用户为root进行操作,降低风险。 |
|
操作步骤 |
1.使用vi编辑器,编辑该文件 vi /etc/ssh/sshd_config,修改如下配置 PermitRootLogin no 需重启sshd 进程 service sshd restart |
13:修改系统日志保存周期
|
项目名称 |
修改系统日志保存周期 |
|
实施目的 |
应修改系统日志保存周期为6周以上 |
|
操作步骤 |
使用vi编辑器,编辑文件/etc/logrotate.conf修改为6个月,如下图所示: |
14:禁用大容量存储介质(USB存储设备)
|
项目名称 |
禁用大容量存储介质(USB存储设备) |
|
实施目的 |
禁用USB存储设备,防止利用USB接口非法接入。 |
|
操作步骤 |
|
15:查看是否存在默认路由
|
项目名称 |
查看是否存在默认路由 |
|
实施目的 |
不允许存在默认路由 0.0.0.0 192.168.189.254 255.255.255.0 eth0或者default 192.168.189.254 255.255.255.0 eth0。 |
|
操作步骤 |
route del –host 0.0.0.0 192.168.189.254 255.255.255.0 eth0 |