linux系统安全加固.docx

通用linux系统安全加固手册 帐户安全配置要求 1.1创立/etc/shadow影子口令文件 配置项名设置影子口令模式 称 履行： 检查方法#more/etc/shadow 查察是否存在该文件 1、履行备份： #cp–p/etc/passwd/etc/passwd_bak 操作步骤 2、切换到影子口令模式： #pwconv 履行： 回退操作#pwunconv #cp/etc/passwd_bak/etc/passwd 风险说明系统默认使用标准口令模式，切换不可功可能致使整个用户管理无效 2成立多帐户组，将用户账号分派到相应的帐户组 配置项名成立多帐户组，将用户账号分派到相应的帐户组 称 1、履行： #more/etc/group 检查方法#more/etc/shadow 查察每个组中的用户或每个用户属于那个组 2、确认需要改正用户组的用户 1、履行备份： 操作步骤 #cp–p/etc/group/etc/group_bak 我们为客户交托安全IT运行能力 神州泰岳软件股份有限企业 -1- 2、改正用户所属组： #usermod–ggroupusername 履行： 回退操作 #cp/etc/group_bak/etc/group 风险说明改正用户所属组可能致使某些应用无法正常运行 3删除或锁定可能无用的帐户 配置项名删除或锁定可能无用的帐户 称 1、履行： #more/etc/passwd 检查方法查察是否存在以下可能无用的帐户： hpsmh、named、uucp、nuucp、adm、daemon、bin、lp 2、与管理员确认需要锁定的帐户 1、履行备份： #cp–p/etc/passwd/etc/passwd_bak 操作步骤 2、锁定无用帐户： #passwd-lusername 履行： 回退操作 #cp/etc/passwd_bak/etc/passwd 风险说明锁定某些用户可能致使某些应用无法正常运行 4删除可能无用的用户组 配置项名 删除可能无用的用户组 称 1、履行： 检查方法 #more/etc/group 查察是否存在以下可能无用的用户组： lpnuucpnogroup 我们为客户交托安全IT运行能力 -2- 神州泰岳软件股份有限企业 2、与管理员确认需要删除的用户组 1、履行备份： #cp–p/etc/group/etc/group_bak 操作步骤 2、删除无用的用户组： #groupdelgroupname 履行： 回退操作 #cp/etc/group_bak/etc/group 风险说明删除某些组可能致使某些应用无法正常运行 5检查是否存在空密码的帐户 配置项名 检查是否存在空密码的帐户 称 履行下列命令，检查是否存在空密码的帐户 检查方法 logins–p 应无回结果 1、履行备份： #cp–p/etc/passwd/etc/passwd_bak 操作步骤 #cp-p/etc/shadow/etc/shadow_bak 2、锁定空密码帐户或使用passwd命令设置复杂密码 #passwd–lusername 履行： 回退操作 #cp–p/etc/passwd_bak/etc/passwd #cp-p/etc/shadow_bak/etc/shadow 风险说明 锁定某些帐户可能致使某些应用无法正常运行 6设置口令策略知足复杂度要求 配置项名 设置口令策略知足复杂度要求 称 检查方法 1、履行下列命令，检查是否存在空密码的帐户 #logins–p 我们为客户交托安全IT运行能力 -3- 神州泰岳软件股份有限企业 应无返回结果 2、履行： #more/etc/default/security 检查是否知足以下各项复杂度参数： MIN_PASSWORD_LENGTH=6 PASSWORD_MIN_UPPER_CASE_CHARS=1 PASSWORD_MIN_LOWER_CASE_CHARS=1 PASSWORD_MIN_DIGIT_CHARS=1 PASSWORD_MIN_SPECIAL_CHARS=1 1、履行备份： #cp–p/etc/default/security/etc/default/security_bak#cp–p/etc/passwd/etc/passwd_bak 2、履行下列命令，编写  /etc/default/security #vi/etc/default/security 操作步骤  改正以下各项复杂度参数： MIN_PASSWORD_LENGTH=6 PASSWORD_MIN_UPPER_CASE_CHARS=1 PASSWORD_MIN_LOWER_CASE_CHARS=1 PASSWORD_MIN_DIGIT_CHARS=1 PASSWORD_MIN_SPECI