一,登录bannar设置
要求内容:
修改系统banner,避免泄漏操作系统名称,版本号,主机名称等,并且给出登陆告警信息linux系统登录
操作步骤:
在缺省情况下,当你登录到linux 系统,
它会告诉你该linux 发行版的名称、版本、内核版本、服务器的名称。
应该尽可能的隐藏系统信息。
首先编辑―/etc/rc.d/rc.local‖文件,在下面显示的这些行前加一个―#‖,
把输出信息的命令注释掉。
# This will overwrite /etc/issue at every boot. So, make any changes you want to make to /etc/issue here or you will lose them when you reboot
#echo ―‖ > /etc/issue
#echo ―$R‖ >> /etc/issue
#echo ―Kernel $(uname -r) on $a $(uname -m)‖ >> /etc/issue
#cp -f /etc/issue /etc/issue
#echo >> /etc/issue
其次删除‖/etc‖目录下的isue 和issue 文件:
# mv /etc/issue /etc/issue.bak
# mv /etc/issue /etc/issue.bak
二,账号设置
要求内容:
1,应删除或锁定与设备运行、维护等工作无关的账号
操作步骤:
锁定或者删除用户
userdel -r 用户(删除用户)
锁定用户(如下)
修改/etc/shadow 文件,用户名后加*LK*
将/etc/passwd 文件中的shell 域设置成/bin/false
passwd -l 用户(只有具备超级用户权限的使用者方可使用,)
需要锁定的用户:listen,gdm,webservd,nobody,nobody4、noaccess。2,使用PAM禁止任何人su为root
操作步骤:
编辑su文件(vim /etc/pam.d/su),在开头添加下面两行:
auth sufficient /lib/security/pam_rootok.so
auth required /lib/security/pam_wheel.so group=wheel
如上两行命令说明只有wheel组的成员可以使用su 命令成为root 用户。
你可以把用户添加到wheel组,以使它可以使用su命令成为root 用户。
添加方法为:chmod –G10 用户(需要确认系统有这个用户)
三,口令设置
要求内容:
1,对于采用静态口令认证技术的设备,
口令长度至少8位,并包括数字、小写字母、大写字母和特殊符号4类中至少3类。
操作步骤:
vim /etc/login.defs ,修改设置如下
PASS_MIN_LEN=8 #设定最小用户密码长度为8位(原有设置是5) Linux用户密码的复杂度可以通过pam_cracklib module或pam_passwdqc module进行设置
2,对于采用静态口令认证技术的设备,帐户口令的生存期不长于90天。
操作步骤:
vi /etc/login.defs
PASS_MAX_DAYS=90 #设定口令的生存期不长于90天(原有是99999)
四,授权设置
要求内容:
在设备权限配置能力内,根据用户的业务需要,配置其所需的最小权限。
操作步骤:
通过chmod命令对目录的权限进行实际设置。
/etc/passwd 必须所有用户都可读,root用户可写–rw-r—r—
/etc/shadow 只有root可读–r——–
/etc/group 须所有用户都可读,root用户可写–rw-r—r—
使用如下命令设置:
chmod 644 /etc/passwd
chmod 600 /etc/shadow
chmod 644 /etc/group
www.757088(不需要写的)
如果是有写权限,就需移去组及其它用户对/etc的写权限(特殊情况除外)
执行命令#chmod -R go-w /etc
五,远程登录
要求内容:
限制具备超级管理员权限的用户远程登录。
远程执行管理员权限操作,应先以普通权限用户远程登录后,
再切换到超级管理员权限账号后执行相应操作。
操作步骤:
编辑/etc/passwd,账号信息的shell 为/sbin/nologin 的为禁止远程登录,
如要允许,则改成可以登录的shell 即可,如/bin/bash。
如果限制root 从远程ssh 登录,修改/etc/ssh/sshd_config 文件,将PermitRootLogin yes 改为PermitRootLogin no,重启sshd 服务。
(可根据自己的需求进行更改)
六,补丁需求
要求内容:
在保证业务网络稳定运行的前提下,安装最新的OS 补丁。补丁在安装前需要测试确定。
操作步骤:
看版本是否为最新版本。执行下列命令,查看版本及大补丁号。
#uname -a (进行补丁的打入)
七,日志设置
要求内容:
1,启用syslog系统审计功能

版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。