51CTO下载-Redhat+Linux加固.doc

Redhat Linux安全加固 系统信息 查看内核信息 uname -a 查看所有软件包 rpm -qa 查看主机名 hostname 查看网络配置 ifconfig -a 查看路由表 netstat -rn 查看开放端口 netstat -an 查看当前进程 ps -aux 账号 禁用无用账号 操作目的 减少系统无用账号，降低风险 检查方法 使用命令“cat /etc/passwd”查看口令文件，与系统管理员确认不必要的账号 FTP等服务的账号，如果不需要登录系统，shell应该/sbin/nologin 加固方法 使用命令“passwd -l 用户名”锁定不必要的账号 使用命令“passwd -u 用户名”解锁不必要的账号 是否实施 备注 需要与管理员确认此项操作不会影响到业务系统的登录 检查特殊账号 操作目的 查看空口令和root权限的账号 检查方法 使用命令“awk -F: ($2==) /etc/shadow”查看空口令账号 使用命令“awk -F: ($3==0) /etc/passwd”查看UID为零的账号 加固方法 使用命令“passwd 用户名”为空口令账号设定密码 UID为零的账号应该只有root 是否实施 备注 添加口令策略 操作目的 加强口令的复杂度等，降低被猜解的可能性 检查方法 使用命令“cat /etc/login.defs|grep PASS”和“cat /etc/pam.d/system-auth”查看密码策略设置 加固方法 1，使用命令“vi /etc/login.defs”修改配置文件 PASS_MAX_DAYS 90 #新建用户的密码最长使用天数 PASS_MIN_DAYS 0 #新建用户的密码最短使用天数PASS_WARN_AGE 7 #新建用户的密码到期提前提醒天数 使用chage命令修改用户设置，例如： chage -m 0 -M 30 -E 2000-01-01 -W 7 用户名 表示：将此用户的密码最长使用天数设为30，最短使用天数设为0，密码2000年1月1日过期，过期前7天里警告用户 2，设置连续输错3次密码，账号锁定5分钟 auth required pam_env.so auth required pam_tally.so onerr=fail deny=3 unlock_time=300 auth sufficient pam_unix.so nullok try_first_pass auth requisite pam_succeed_if.so uid = 500 quiet auth required pam_deny.so 注：解锁用户 faillog -u 用户名 -r 是否实施 备注 锁定用户功能谨慎使用，密码策略对root不生效 检查Grub/Lilo密码 操作目的 查看系统引导管理器是否设置密码 检查方法 使用命令“cat /etc/grub.conf|grep password”查看grub是否设置密码 使用命令“cat /etc/lilo.conf|grep password”查看lilo是否设置密码 加固方法 为grub或lilo设置密码 是否实施 备注 /etc/grub.conf通常会链接到/boot/grub/grub.conf 限制FTP登录 操作目的 禁止不必要的用户登录FTP服务，降低风险 检查方法 使用命令“cat /etc/ftpusers”查看配置文件，确认是否包含用户名，这些用户名不允许登录FTP服务 加固方法 使用命令“vi /etc/ftpusers”修改配置文件，添加行，每行包含一个用户名，禁止此用户登录FTP服务 是否实施 备注 限制用户su 操作目的 限制能su到root的用户 检查方法 使用命令“cat /etc/pam.d/su|grep pam_wheel.so”查看配置文件，确认是否有相关限制 加固方法 使用命令“vi /etc/pam.d/su”修改配置文件，添加行 例如：只允许test组用户su到root auth required pam_wheel.so group=test 是否实施 备注 服务 关闭不必要的服务 操作目的 关闭不必要的服务（普通服务和xinetd服务），降低风险 检查方法 使用命令“who -r”查看当前init级别 使用命令“chkconfig --list 服务名”查看所有服务的状态 加固方法 使用命令“chkconfig --level init级别 服务名 on|off|reset