你必須知道的Linux系統安全配置

連結：https://www.cnblogs.com/sun-sunshine123/p/7119472.html

一：共享帳號檢查

配置名稱：使用者帳號分配檢查，避免共享帳號存在
配置要求：1、系統需按照實際使用者分配帳號；
2、避免不同使用者間共享帳號，避免使用者帳號和伺服器間通訊使用的帳號共享。
操作指南：參考配置操作：cat /etc/passwd檢視當前所有使用者的情況；
檢查方法：命令cat /etc/passwd檢視當前所有使用者的資訊，與管理員確認是否有共享帳號情況存在。
配置方法：如需建立使用者，參考如下：
#useradd username #建立帳號
#passwd username #設定密碼
使用該命令為不同的使用者分配不同的帳號，設定不同的口令及許可權資訊等。
適用版本：Linux Redhat AS 3、Linux Redhat AS 4

二：多余帳戶釘選策略

配置名稱：多余帳戶釘選策略
配置要求：應釘選與裝置執行、維護等工作無關的帳號。
操作指南：參考配置操作：
檢視釘選使用者：
# cat /etc/password，檢視哪些帳戶的shell域中為nologin；
檢查方法：人工檢查：
 # cat /etc/password後檢視多余帳戶的shell域為nologin為符合；
BVS基線檢查：
 多余帳戶處於釘選狀態為符合。
配置方法：釘選使用者：
修改/etc/password檔，將需要釘選的使用者的shell域設為nologin；
或透過#passwd –l username釘選帳戶；
只有具備超級使用者許可權的使用者方可使用#passwd –l username釘選使用者,用#passwd –d username解鎖後原有密碼失效，登入需輸入新密碼。
補充操作說明：
一般情況下，需要釘選的使用者：lp,nuucp,hpdb,www,demon
適用版本：Linux Redhat AS 3、Linux Redhat AS 4

三：root帳戶遠端登入限制

配置名稱：root帳戶遠端登入帳戶限制
配置要求：1、限制具備超級管理員許可權的使用者遠端登入。
2、遠端執行管理員許可權操作，應先以普通許可權使用者遠端登入後，再切換到超級管理員許可權帳號後執行相應操作。
操作指南：使用root帳戶遠端嘗試登陸
檢查方法：1、root遠端登入不成功，提示「Noton system console」；
2、普通使用者可以登入成功，而且可以切換到root使用者；
配置方法：修改/etc/ssh/sshd_config檔，將PermitRootLogin yes改為PermitRootLogin no，重新開機sshd服務。
適用版本：Linux Redhat AS3、Linux Redhat AS4

四：口令復雜度策略

配置名稱：作業系統口令復雜度策略
配置要求：口令長度至少12位元，並包括數位、小寫字母、大寫字母和特殊符號。
操作指南：1、參考配置操作
# cat /etc/pam.d/system-auth，找到password模組介面的配置部份，找到類似如下的配置行：
password requisite /lib/security/$ISA/pam_cracklib.so minlen =6
2、補充操作說明
參數說明如下：
1、retry=N，確定使用者建立密碼時允許重試的次數；
2、minlen=N，確定密碼最小長度要求，事實上，在預設配置下，此參數代表密碼最小長度為N-1；
3、dcredit=N，當N小於0時，代表新密碼中數位字元數量不得少於（-N）個。例如，dcredit=-2代表密碼中要至少包含兩個數位字元；
4、ucredit=N，當N小於0時，代表則新密碼中大寫字元數量不得少於（-N）個；
5、lcredit=N，當N小於0時，代表則新密碼中小寫字元數量不得少於（-N）個；
6、ocredit=N，當N小於0時，代表則新密碼中特殊字元數量不得少於（-N）個；
檢查方法：# cat /etc/pam.d/system-auth，參考操作指南檢查對應參數
 口令的最小長度至少12位元
 口令最少應包含的字元數量
 口令中最少應包含的字母字元數量
 口令中最少應包含的非字母數位字元數量
透過以上4子項的輸出綜合判斷該項是否滿足。
配置方法：# vi /etc/pam.d/system-auth，找到password模組介面的配置部份，按照配置要求內容修改對應內容。
適用版本：Linux Redhat AS 4

五：口令最長生存期策略

配置名稱：口令最長生存期策略
配置要求：要求作業系統的帳戶口令的最長生存期不長於90天
操作指南：# cat /etc/login.defs檔中指定配置項，其中：
PASS_MAX_DAYS配置項決定密碼最長使用期限；
PASS_MIN_DAYS配置項決定密碼最短使用期限；
PASS_WARN_AGE配置項決定密碼到期提醒時間。
檢查方法：PASS_MAX_DAYS值小於等於90為符合；
「對於采用靜態口令認證技術的裝置，帳戶口令的生存期不長於90天」項的當前值：表示當前的口令生存期長度。
配置方法：vi /etc/login.defs檔，修改PASS_MAX_DAYS值為小於等於9
適用版本：Linux Redhat AS 3、Linux Redhat AS 4

六：系統關鍵目錄許可權控制

配置名稱：關鍵目錄許可權控制
配置要求：根據安全需要，配置某些關鍵目錄其所需的最小許可權；
重點要求password配置檔、shadow檔、group檔許可權。
當前主流版本的linux系統在預設情況下即對重要檔做了必要的許可權設定，在日常管理和操作過程中應避免修改此類檔許可權，除此以外，
應定期對許可權進行檢查及覆核，確保許可權設定正確。
操作指南：檢視關鍵目錄的使用者對應許可權參考命令
ls -l /etc/passwd
ls -l /etc/shadow
ls -l /etc/group
檢查方法：與管理員確認已有許可權為最小許可權。
配置方法：參考配置操作：
透過chmod命令對目錄的許可權進行實際設定。
補充操作說明：
/etc/passwd 所有使用者都可讀，root使用者可寫 –rw-r—r—
配置命令：chmod 644 /etc/passwd
/etc/shadow 只有root可讀 –r--------
配置命令：chmod 600 /etc/shadow；
/etc/group 必須所有使用者都可讀，root使用者可寫 –rw-r—r—
配置命令：chmod 644 /etc/group；
如果是有寫許可權，就需移去組及其它使用者對/etc的寫許可權（特殊情況除外）執行命令#chmod -R go-w,o-r /etc
適用版本：Linux Redhat AS 3、Linux Redhat AS 4

七：使用者缺省許可權控制

配置名稱：使用者缺省許可權控制
配置要求：控制使用者缺省存取許可權，當在建立新檔或目錄時應遮蔽掉新檔或目錄不應有的存取允許許可權,防止同屬於
該組的其它使用者及別的組的使用者修改該使用者的檔或更高限制。
操作指南：1、# cat /etc/bashrc 檢視全域預設設定umask值
2、檢視具體使用者home目錄下bash_profile，具體使用者的umask
檢查方法：檢視全域預設設定umask值為027或更小許可權為符合（如有特許許可權需求，可根據實際情況判斷）；
檢視具體使用者的umask，本著最小許可權的原則。
配置方法：參考配置操作：
單獨針對使用者設定
可修改使用者home目錄下的.bash_profile指令碼檔，例如，可增加一條語句：umask 027；對於許可權要求較嚴格的場合，建議設定為077。
全域預設設定：
預設透過全域指令碼/etc/bashrc設定所有使用者的預設umask值，修改指令碼即可實作對使用者預設umask值的全域性修改，
通常建議將umask設定為027以上，對於許可權要求較嚴格的場合，建議設定為077。
適用版本：Linux Redhat AS 3、Linux Redhat AS 4

八：安全日誌完備性要求

配置名稱：安全日誌完備性要求
配置要求：系統應配置完備日誌記錄，記錄對與系統相關的安全事件。
操作指南：1、# cat /etc/syslog.conf檢視是否有對應配置
2、# cat /var/log/secure檢視是否有對應配置
檢查方法：1、cat /etc/syslog.conf確認有對應配置；
2、檢視/var/log/secure，應記錄有需要的裝置相關的安全事件。
配置方法：修改配置檔vi /etc/syslog.conf。
配置如下類似語句：
authpriv.* /var/log/secure
定義為需要保存的裝置相關安全事件。
適用版本：Linux Redhat AS 3、Linux Redhat AS 4

九：統一遠端日誌伺服器配置

配置名稱：統一遠端日誌伺服器配置
配置要求：當前系統應配置遠端日誌功能，將需要重點關註的日誌內容傳輸到日誌伺服器進行備份。
操作指南：# cat /etc/syslog.conf檢視是否有對應配置
檢查方法：配置了遠端日誌伺服器為符合
配置方法：1、參考配置操作
修改配置檔vi /etc/syslog.conf，
加上這一行：
*.* @192.168.0.1
可以將"*.*"替換為你實際需要的日誌資訊。比如：kern.* / mail.* 等等；可以將此處192.168.0.1替換為實際的IP或網域名稱。
重新啟動syslog服務，執行下列命令：
services syslogd restart
2、補充操作說明
註意：*.*和@之間為一個Tab
適用版本：Linux Redhat AS 3、Linux Redhat AS 4

十：設定history時間戳

配置名稱：設定history時間戳
配置要求：配置history時間戳，便於審計。
操作指南：# cat /etc/bashrc檢視是否有對應配置
檢查方法：已添加，如：「export HISTTIMEFORMAT="%F %T」配置為符合。
配置方法：參考配置操作：
在/etc/bashrc檔中增加如下行：
export HISTTIMEFORMAT="%F %T
適用版本：Linux Redhat AS 4

十一：SSH登入配置

配置名稱：SSH登入配置
配置要求：系統應配置使用SSH等加密協定進行遠端登入維護，並安全配置SSHD的設定。不使用TELENT進行遠端登入維護。
操作指南：1、檢視SSH服務狀態：# ps –elf|grep ssh；
2、檢視telnet服務狀態：# ps –elf|grep telnet。
檢查方法：1、 不能使用telnet進行遠端維護；
2、 應使用SSH進行遠端維護；
3、 SSH配置要符合如下要求；
Protocol 2#使用ssh2版本
X11Forwarding yes #允許視窗圖形傳輸使用ssh加密
IgnoreRhosts yes#完全禁止SSHD使用.rhosts檔
RhostsAuthentication no#不設定使用基於rhosts的安全驗證
RhostsRSAAuthentication no#不設定使用RSA演算法的基於rhosts的安全驗證
HostbasedAuthentication no#不允許基於主機白名單方式認證
PermitRootLogin no#不允許root登入
PermitEmptyPasswords no#不允許空密碼
Banner /etc/motd #設定ssh登入時顯示的banner
4、以上條件都滿足為符合。
配置方法：1、參考配置操作
編輯 sshd_config，添加相關設定，SSHD相關安全設定選項參考檢查方法中的描述。
2、補充操作說明
檢視SSH服務狀態：# ps –elf|grep ssh
適用版本：Linux Redhat AS 4

十二：關閉不必要的系統服務

配置名稱：關閉不必要的系統服務
配置要求：根據每台機器的不同角色，關閉不需要的系統服務。操作指南中的服務項提供參考，根據伺服器的角色和套用情況對啟動項進行修改。
如無特殊需要，應關閉Sendmail、Telnet、Bind等服務。
操作指南：執行命令 #chkconfig --list，檢視哪些服務開放。
檢查方法：與管理員確認無用服務已關閉
配置方法：1、參考配置操作
使用如下方式禁用不必要的服務
#service <服務名> stop
#chkconfig --level 35 off
2、參考說明
Linux/Unix系統服務中，部份服務存在較高安全風險，應當禁用，包括：
「lpd」，此服務為行式印表機後台程式，用於假離線打印工作的UNIX後台程式，此服務通常情況下不用，建議禁用；
「telnet」，此服務采用明文傳輸數據，登陸資訊容易被竊取，建議用ssh代替；
「routed」，此服務為路由守候行程，使用動態RIP路由選擇協定，建議禁用；
「sendmail」，此服務為信件服務守護行程，非信件伺服器應將其關閉；
「Bluetooth」，此服務為藍芽服務，如果不需要藍芽服務時應關閉；
「identd」，此服務為AUTH服務，在提供使用者資訊方面與finger類似，一般情況下該服務不是必須的，建議關閉；
「xfs」，此服務為Linux中X Window的字型服務，關於該服務歷史上出現過資訊泄露和拒絕服務等漏洞，應以減少系統風險；
R服務（「rlogin」、「rwho」、「rsh」、「rexec」），R服務設計上存在嚴重的安全缺陷，僅適用於封閉環境中信任主機之間便捷存取，
其他場合下均必須禁用；
基於inetd/xinetd的服務（daytime、chargen、echo等），此類服務建議禁用。
適用版本：Linux Redhat AS 3、Linux Redhat AS 4

十三：禁止Control-Alt-Delete鍵盤關閉命令，

配置名稱：禁止Control-Alt-Delete鍵盤關閉命令
配置要求：應禁止使用Control-Alt-Delete組合鍵重新開機伺服器，防止誤操作
操作指南：命令cat /etc/inittab，檢視配置
檢查方法：/etc/inittab 中應有：「#ca::ctrlaltdel:/sbin/shutdown -t3 -r now」配置為符合。
配置方法：1、參考配置操作
在「/etc/inittab」 檔中註釋掉下面這行（使用#）：ca::ctrlaltdel:/sbin/shutdown -t3 -r now
改為：#ca::ctrlaltdel:/sbin/shutdown -t3 -r now
為了使此改動生效，輸入下面這個命令：# /sbin/init q
2、補充說明
禁止ctl-alt-del使得在控制台直接按ctl-alt-del不能重新啟動電腦。
適用版本：Linux Redhat AS 4

十四：安裝作業系統更新修補程式

配置名稱：安裝作業系統更新修補程式
配置要求：安裝作業系統更新修補程式，修復系統漏洞
操作指南：1、檢視當前系統修補程式版本
2、檢查官網當前系統版本是否釋出安全更新。
檢查方法：版本應保持為最新
配置方法：透過存取
https://rhn.redhat.com/errata/下載修補程式安裝包，在開啟的頁面上，選擇與自己使用相對應的系統後，點選連線進入修補程式包下載列表界面，
選擇需要的修補程式下載。
下載的修補程式為rpm安裝包，將該安裝包復制到目標系統上，使用命令rpm –ivh xxx.rpm進行安裝，隨後重新啟動系統，
檢查所安裝修補程式的服務或應用程式是否執行正常，即完成該修補程式的安裝和升級工作。
適用版本：Linux Redhat AS3 Linux Redhat AS4

<END>

點這裏👇關註我，記得標星呀～

感謝你的分享，點贊，在看三連