发布日期: 2025-04-16

文章字数: 751

阅读时长: 3 分

阅读次数:

1.身份鉴别

1.1 检查是否设置口令复杂度

# vi /etc/pam.d/common-password 改为如下两行：
password requisite pam_cracklib.so minlen=8 ucredit=-1 lcredit=-1 dcredit=-1

密码要求：（minlen=8）最少8位，（ucredit=-1）至少包含1个大写字母，（lcredit=-1）至少包含一个小写字母，（dcredit=-1）至少包含一个数字个数，（ocredit=-1）至少包含一个特殊字符

1.2 检查是否设置口令生存期

# vi /etc/login.defs 中确保为如下值
PASS_MAX_DAYS 90

1.3 检查是否删除无关账号

锁定如下账号锁定后登陆页面不会显示该用户

# usermod -L games
# usermod -L nobody

2.访问控制

2.1 检查是否配置登陆超时时间设置

# vi /etc/profile 确保如下设置
export TMOUT=600

2.2 检查是否设置文件与目录缺省权限

# vi /etc/profile 确保如下设置
umask 027

2.3 普通用户不允许Root登录

# vi /etc/pam.d/su
添加 auth suffcient pam_rootok.so
添加 auth required pam_wheel.so group=wheel
# cat /etc/group
查看是否存在wheel组，没有则添加组wheel

2.4 检查是否记录cron行为日志

# vi /etc/rsyslog.conf  确保开启如下设置
cron.*  /var/log/cron
如果/var/log/cron文件不存在:
# touch /var/log/cron
# chmod 775 /var/log/cron
重启生效
# systemctl restart rsyslog.service

2.5 检查是否日志文件安全 rwx rx rx

确保如下日志文件的权限为755,其他用户不可修改
/var/log/messages   rwx rwx rx
确保如下日志文件的权限为775,其他用户不可修改
/var/log/secure  
/var/log/spooler
/var/log/maillog
/var/log/mail
/var/log/boot.log
/var/log/cron

2.6 检查是否配置用户所需最小权限

检查如下文件的权限是否设置正确：
/etc/passwd  -  644
/etc/shadow  -  600
/etc/group   -  644

隐藏系统banner信息
# mv /etc/issue /etc/issue.bak
# mv /etc/issue.net /etc/issue.net.bak

# vi /etc/vsftpd.conf (或者/etc/vsftpd/vsftpd.conf)
修改ftpd_banner=”Authorized users only. All activity will be monitored and reported.”
重启：/ec/init.d/vsftpd restart(或者systemctl restart vsftpd.service)

3.安全审计

3.1 检查是否启用syslog日志审计

# vi /etc/rsyslog.conf  确保开启如下设置,
authpriv.*  /var/log/secure
没有文件则添加
touch /var/log/secure
chmod 775 /var/log/secure
如果更改了配置文件，需要重启生效
# systemctl restart rsyslog.service

4.入侵防范

4.1 检查是否关闭不必要的服务和端口

关闭服务的方法如下：
# systemctl stop service
# systemctl disable service
检查如下服务是否关闭：
检查方法：systemctl status service
systemctl status daytime
systemctl status time
systemctl status echo
systemctl status discard
systemctl status chargen
systemctl status sendmail
systemctl status ntalk
systemctl status ident
systemctl status printer
systemctl status bootps
systemctl status tftp
systemctl status kshell
systemctl status klogin
systemctl status lpd
systemctl status nfs
systemctl status nfs.lock
systemctl status ypbind
systemctl status ftp

5.资源控制

5.1 禁用telnet协议

# vi /etc/services 注释掉如下行
#telnet       23/tcp    # Telnet [Jon_Postel] [RFC854]
#telnet       23/udp    # Telnet [Jon_Postel] [RFC854]
重启服务：service xinetd restart

TerSup

http://gqliu.cn/2025/04/16/20250416001/

本博客所有文章除特別声明外，均采用 CC BY 4.0 许可协议。转载请注明来源 TerSup !

SUSE12

Linux ntfs-3g 源码安装

2025-04-21 TerSup

RHEL9

mac下制作iso方法

2025-04-09 TerSup

MAC

SUSE12SP5基线加固

1.身份鉴别

1.1 检查是否设置口令复杂度

1.2 检查是否设置口令生存期

1.3 检查是否删除无关账号

2.访问控制

2.1 检查是否配置登陆超时时间设置

2.2 检查是否设置文件与目录缺省权限

2.3 普通用户不允许Root登录

2.4 检查是否记录cron行为日志

2.5 检查是否日志文件安全 rwx rx rx

2.6 检查是否配置用户所需最小权限

2.7 检查是否修改系统Banner

2.8 检查是否修改vsftp Banner

3.安全审计

3.1 检查是否启用syslog日志审计

4.入侵防范

4.1 检查是否关闭不必要的服务和端口

5.资源控制

5.1 禁用telnet协议

SUSE12SP5基线加固

1.身份鉴别

1.1 检查是否设置口令复杂度

1.2 检查是否设置口令生存期

1.3 检查是否删除无关账号

2.访问控制

2.1 检查是否配置登陆超时时间设置

2.2 检查是否设置文件与目录缺省权限

2.3 普通用户不允许Root登录

2.4 检查是否记录cron行为日志

2.5 检查是否日志文件安全 rwx rx rx

2.6 检查是否配置用户所需最小权限

2.7 检查是否修改系统Banner

2.8 检查是否修改vsftp Banner

3.安全审计

3.1 检查是否启用syslog日志审计

4.入侵防范

4.1 检查是否关闭不必要的服务和端口

5.资源控制

5.1 禁用telnet协议

你的赏识是我前进的动力