linux 7 console = /dev/tty01,linux系统加固规范
linux系統加固規范
Linux 系統加固規范 山東省計算中心 2018 年5 月1 1 賬號管理、認證授權 賬號管理、認證授權 1.1.1 1.1.1 Linux-01-01-01 Linux-01-01-01 編號 Linux-01-01-01 名稱 為不同的管理員分配不同的賬號 實施目的 根據不同類型用途設置不同的帳戶賬號,提高系統安全。 問題影響 賬號混淆,權限不明確,存在用戶越權使用的可能。 系統當前狀態 cat /etc/passwd 記錄當前用戶列表 實施步驟 1、參考配置操作 為用戶創建賬號: #useradd username #創建賬號 #passwd username #設置密碼 修改權限: #chmod 750 directory #其中755為設置的權限,可根據 實際情況設置相應的權限,directory是要更改權限的目錄) 使用該命令為不同的用戶分配不同的賬號,設置不同的口令 及權限信息等。 回退方案 恢復 httpd.conf 文件,重啟 APACHE 判斷依據 判斷是否漏洞。 實施風險 中 重要等級 ★★★1.1.2 1.1.2 Linux-01-01-02 Linux-01-01-02 編號 Linux-01-01-02 名稱 去除不需要的帳號、修改默認帳號的shell變量 實施目的 刪除系統不需要的默認帳號、更改危險帳號缺省的 shell 變量 問題影響 允許非法利用系統默認賬號 系統當前狀態 cat /etc/passwd 記錄當前用戶列表, cat /etc/shadow 記 錄當前密碼配置 實施步驟 1、參考配置操作 # userdel lp # groupdel lp 如果下面這些系統默認帳號不需要的話,建議刪除。 lp, sync, shutdown, halt, news, uucp, operator, games, gopher 修改一些系統帳號的 shell 變量,例如 uucp,ftp 和 news 等, 還有一些僅僅需要 FTP 功能的帳號,一定不要給他們設置 /bin/bash 或者/bin/sh 等 Shell 變量。可以在/etc/passwd 中將它 們的 shell 變量設為/bin/false 或者/dev/null 等,也可以使用 usermod -s /dev/null username 命令來更改 username 的 shell 為/dev/null。 回退方案 恢復賬號或者 SHELL 判斷依據 如上述用戶不需要,則鎖定。 實施風險 中 重要等級 ★★ 備注1.1.3 1.1.3 Linux-01-01-03 Linux-01-01-03 編號 Linux-01-01-03 名稱 限制超級管理員遠程登錄 實施目的 限制具備超級管理員權限的用戶遠程登錄。遠程執行管理員 權限操作,應先以普通權限用戶遠程登錄后,再切換到超級 管理員權限賬。 問題影響 允許root遠程非法登陸 系統當前狀態 cat /etc/ssh/sshd_config cat /etc/securetty 實施步驟 1、 參考配置操作 SSH: #vi /etc/ssh/sshd_config 把 PermitRootLogin yes 改為 PermitRootLogin no 重啟 sshd 服務 #service sshd restart CONSOLE: 在/etc/securetty 文件中配置:CONSOLE = /dev/tty01 回退方案 還原配置文件 /etc/ssh/sshd_config 判斷依據 /etc/ssh/sshd_config 中 PermitRootLogin no 實施風險 高 重要等級 ★★ 備注1.1.4 1.1.4 Linux-01-01-04 Linux-01-01-04 編號 Linux-01-01-04 名稱 對系統賬號進行登錄限制 實施目的 對系統賬號進行登錄限制,確保系統賬號僅被守護進程和服 務使用。 問題影響 可能利用系統進程默認賬號登陸,賬號越權使用 系統當前狀態 cat /etc/passwd查看各賬號狀態。 實施步驟 1、 參考配置操作 Vi /etc/passwd 例如修改 lynn:x:500:500::/home/lynn:/sbin/bash 更改為: lynn:x:500:500::/home/lynn:/sbin/nologin 該用戶就無法登錄了。 禁止所有用戶登錄。 touch /etc/nologin 除 root 以外的用戶不能登錄了。 2、補充操作說明 禁止交互登錄的系統賬號,比如 daemon,bin,sys、adm、lp、 uucp、nuucp、smmsp 等等 回退方案 還原/etc/passwd 文件配置 判斷依據 /etc/passwd 中的禁止登陸賬號的 shell 是 /sbin/nologin 實施風險 中 重要等級 ★★★ 備注1.1.5 1.1.5 Linux-01-01-05 Linux-01-01-05 編號 Linux-01-01-05 名稱 為空口令用戶設置密碼 實施目的 禁止空口令用戶,存在空口令是很危險的,用戶不用口令認 證就能進入系統。 問題影響 用戶被非法利用 系統當前狀態 cat /etc/passwd awk -F: ($2 == ““){print $1} /etc/passwd 實施步驟 awk -F: ($2 == ““){print $1} /etc/passwd 用 root 用戶登陸 Linux 系統,執行 passwd 命令,給用戶增 加口令。 例如:passwd test test。 回退方案 Root 身份設置用戶口令,取消口令 如做了口令策略則失敗 判斷依據 登陸系統判斷 Cat /etc/passwd 實施風險 高 重要等級 ★ 備注1.1.6 1.1.6 Linux-01-01-06 Linux-01-01-06 編號 Linux-01-01-05 名稱 為空口令用戶設置密碼 實施目的 禁止空口令用戶,存在空口令是很危險的,用戶不用口令認 證就能進入系統。 問題影響 用戶被非法利用 系統當前狀態 cat /etc/passwd awk -F: ($2 == ““){print $1} /etc/passwd 實施步驟 awk -F: ($2 == ““){print $1} /etc/passwd 用 root 用戶登陸 Linux 系統,執行 passwd 命令,給用戶增 加口令。 例如:passwd test test。 回退方案 Root 身份設置用戶口令,取消口令 如做了口令策略則失敗 判斷依據 登陸系統判斷 Cat /etc/passwd 實施風險 高 重要等級 ★ 備注1.1.7 1.1.7 Linux-01-01-07 Linux-01-01-07 編號 Linux-01-01-05 名稱 為空口令用戶設置密碼 實施目的 禁止空口令用戶,存在空口令是很危險的,用戶不用口令認 證就能進入
總結
以上是生活随笔為你收集整理的linux 7 console = /dev/tty01,linux系统加固规范的全部內容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: Linux 系统安全加固规范
- 下一篇: Linux主机操作系统加固规范