Linux伺服器安全加固(三)
阿新 • • 發佈:2020-09-08
一、檢查密碼重複使用次數限制
1 配置要求: 2 對於採用靜態口令認證技術的裝置,應配置裝置,使使用者不能重複使用最近5次(含5次)內已使用的口令。 3 4 檢查步驟 5 檢視檔案/etc/pam.d/system-auth,是否有配置口令重複使用次數限 6 7 合規標準 8 口令重複使用次數限制不小於5次則合規,否則不合規。 9 10 加固方案 11 1、配置檔案備份 12 cp -p /etc/pam.d/system-auth /etc/pam.d/system-auth.bak 13 2、建立檔案/etc/security/opasswd用於儲存舊密碼,並設定許可權。14 touch /etc/security/opasswd 15 chown root:root /etc/security/opasswd 16 chmod 600 /etc/security/opasswd 17 3、編輯檔案/etc/pam.d/system-auth,找到類似行password sufficient pam_unix.so,在行末尾增加remember=5,中間以空格隔開.如果沒有則新增。 18 password sufficient pam_unix.so remember=5
二、檢查是否設定SSH登入前警告Banner
1 理論依據: 2 橫幅被用來警告使用者連線特定站點的策略。為你的網站提供適當的警告橫幅。 3 配置要求: 4 SSH登入時顯示警告資訊,在登入成功前不洩漏伺服器資訊。 5 檢查步驟 6 檢視檔案/etc/ssh/sshd_config,檢查是否存在如下配置:banner <file_path>,且<file_path>內容不為空。 7 8 合規標準 9 ssh伺服器未啟用或者服務啟用但設定了ssh banner警示資訊則合規,否則不合規。 10 11 加固方案 12 1、編輯檔案/etc/ssh/sshd_config檔案,修改Banner引數的值如下(如不存在則新增):13 Banner /etc/ssh_banner 14 2、執行如下命令建立ssh banner警示資訊檔案: 15 touch /etc/ssh_banner 16 chmod 644 /etc/ssh_banner 17 echo "Authorized only. All activity will be monitored and reported" > /etc/ssh_banner 18 可根據實際需要修改該檔案的內容。 19 3、重啟sshd服務: 20 systemctl restart sshd
登入測試
三、檢查系統是否禁用Ctrl+Alt+Delete組合鍵
1 介紹: 2 Linux預設允許任何人按下Ctrl+Alt+Del來重啟系統。但是在生產環境中,應該停用按下Ctrl-Alt-Del 重啟系統的功能。 3 檢查步驟 4 檢視檔案找Ctrl+Alt+Del組合鍵配置: 5 cat /etc/inittab //提示在/usr/lib/systemd/system/ctrl-alt-del.target中配置 6 刪除ctrl-alt-del.target檔案 7 rm /usr/lib/systemd/system/ctrl-alt-del.target 8 執行init q 9 合規標準 10 禁用了使用組合鍵Ctrl+Alt+Delete重啟系統則合規,否則不合規。 11 12 加固方案
1.備份檔案:
cp /usr/lib/systemd/system/ctrl-alt-del.target /usr/lib/systemd/system/ctrl-alt-del.target.bat 13 2.刪除檔案:
rm /usr/lib/systemd/system/ctrl-alt-del.target
3.執行命令
init q 14 注:如果要開啟這個功能,方法就是ln -s把軟連結建立回去(或將備份檔案去掉.bat字尾),再init q 重新reload一下配置檔案。
ln-s/usr/lib/systemd/system/reboot.target/usr/lib/systemd/system/ctrl-alt-del.target
四、檢查是否按使用者分配賬號
1 配置要求: 2 應按照不同的使用者分配不同的賬號,避免不同使用者間共享賬號,避免使用者賬號和裝置間通訊使用的賬號共享。 3 檢查步驟 4 1、使用如下命令檢視檔案/etc/login.defs,確認檔案中變數UID_MIN和UID_MAX的值: 5 #grep -v ^# /etc/login.defs |grep "^UID_MIN"|awk '($1="UID_MIN"){print $2}' 6 #grep -v ^# /etc/login.defs |grep "^UID_MAX"|awk '($1="UID_MAX"){print $2}' 7 2、使用以下命令檢視系統中是否存在使用者id>=UID_MIN且<=UID_MAX的使用者: 8 #up_uidmin=`(grep -v ^# /etc/login.defs |grep "^UID_MIN"|awk '($1="UID_MIN"){print $2}')` 9 #up_uidmax=`(grep -v ^# /etc/login.defs |grep "^UID_MAX"|awk '($1="UID_MAX"){print $2}')` 10 #echo "users="`cat /etc/passwd|awk -F: '{if( $3>='$up_uidmin' && $3<='$up_uidmax' ) {print $1":"$3}}'` 11 12 合規標準 13 存在使用者id>=UID_MIN且<=UID_MAX的使用者則合規,否則不合規。 14 15 加固方案 16 建立使用者 17 #useradd username #建立賬號 18 #passwd username #設定密碼修改許可權
五、檢查重要目錄或檔案許可權設定
1 配置要求: 2 在裝置許可權配置能力內,根據使用者的業務需要,配置其所需的最小許可權。 3 4 檢查步驟 5 使用以下命令檢視如下檔案的許可權設定: 6 #ls -lL /etc/passwd 2>/dev/null 7 #ls -lL /etc/shadow 2>/dev/null 8 #ls -lL /etc/group 2>/dev/null 9 10 合規標準 11 1、/etc/passwd檔案的許可權小於等於644 12 2、/etc/shadow檔案的許可權小於等於400 13 3、/etc/group檔案的許可權小於等於644 14 以上條件同時滿足則合規,否則不合規。 15 16 加固方案 17 1、賦予使用者相關賬號檔案最小許可權 18 #chmod 644 /etc/passwd 19 #chmod 400 /etc/shadow 20 #chmod 644 /etc/group
六、檢查是否修改SNMP預設團體字
1 配置要求: 如果該服務沒有必要,需要停止SNMP服務,如果確實需要使用SNMP服務,需要修改SNMP Community。。
檢查步驟 2 1、檢視snmpd程序是否存在。 3 #ps -ef|grep "snmpd"|grep -v "grep" 4 2、檢視檔案/etc/snmp/snmpd.conf,檢查SNMP團體名配置。 5 6 合規標準 7 SNMP服務未開啟或者修改了預設的團體名則合規,否則不合規。 8 9 參考配置操作 10 1、修改snmp配置檔案/etc/snmp/snmpd.conf找到類似如下配置,修改預設團體名public為其他使用者自己可識別的字串。 11 com2sec notConfigUser default public //<notConfigUser>為連線snmp的使用者名稱 <default>為可以連線snmp的地址範圍 <public>為團體名 12 2、重啟snmp服務 13 service snmpd restart