場景

方案

檢查最小密碼長度

在檔案/etc/login.defs中設定 PASS_MIN_LEN 不小於標準值

檢查密碼複雜度策略中設定的特殊字元個數

Redhat系統：修改/etc/pam.d/system-auth檔案, 
在ucredit=-1 lcredit=-1 dcredit=-1 ocredit=-1 選3種，追加到password requisite pam_cracklib.so後面，新增到配置檔案中。 
例如：password requisite pam_cracklib.so ucredit=-1 lcredit=-1 dcredit=-1 
注：ucredit：大寫字母個數；lcredit：小寫字母個數；dcredit：數字個數；ocredit：特殊字元個數
 

檢查是否使用PAM認證模組禁止wheel組之外的使用者su為root

編輯su檔案(vi /etc/pam.d/su)，在開頭新增下面兩行： 
auth sufficient pam_rootok.so 和 
auth required pam_wheel.so group=wheel 這表明只有wheel組的成員可以使用su命令成為root使用者。 
你可以把使用者新增到wheel組，以使它可以使用su命令成為root使用者。 
新增方法為：usermod –G wheel username

檢查檔案/etc/profile中umask設定

在檔案/etc/profile中設定umask
 
 027或UMASK 027，如果檔案中含有umask引數，則需要在最前面設定該引數

檢查是否禁止root使用者遠端telnet登入

編輯 /etc/pam.d/login檔案，配置auth required pam_securetty.so

檢查是否禁止root使用者遠端ssh登入

修改/etc/ssh/sshd_config檔案,配置PermitRootLogin no。重啟服務，/etc/init.d/sshd restart。

syslog-ng是否配置遠端日誌功能

在/etc/syslog-ng/syslog-ng.conf中配置destination logserver { udp("10.10.10.10"
 
 port(514)); }; 
log { source(src); destination(logserver); }; 
可以將此處10.10.10.10替換為實際的IP

rsyslog是否配置遠端日誌功能

修改配置檔案vi /etc/rsyslog.conf， 
加上這一行： 
*.* @192.168.0.1 
可以將"*.*"替換為你實際需要的日誌資訊。比如：kern.* ; mail.* 等等。 
可以將此處192.168.0.1替換為實際的IP或域名(域名格式形如：www.nsfocus.com,根據具體情況填寫)。 

syslog是否配置遠端日誌功能

修改配置檔案vi /etc/syslog.conf， 
加上這一行： 
*.* @192.168.0.1 
可以將"*.*"替換為你實際需要的日誌資訊。比如：kern.* ; mail.* 等等。 
可以將此處192.168.0.1替換為實際的IP或域名(域名格式形如：www.nsfocus.com,根據具體情況填寫)。 

限制使用者FTP預設訪問許可權

配置方法： 
開啟/etc/vsftpd/chroot_list 檔案，將需要限制的使用者名稱加入到檔案中。

應刪除系統banner資訊，避免洩漏作業系統洩漏

刪除"/etc"目錄下的 issue.net 和 issue 檔案： 
# mv /etc/issue /etc/issue.bak 
# mv /etc/issue.net /etc/issue.net.bak