linux系统加固

 

检查口令最小长度
vim /etc/login.defs

设置 PASS_MIN_LEN 8

检查是否设置口令生存周期
vim /etc/login.defs

设置PASS_MAX_DAYS 90

检查设备密码复杂度策略
vim /etc/pam.d/system-auth

追加到password requisite pam_cracklib.so后面(ucredit=-1 lcredit=-1 dcredit=-1)

password requisite pam_cracklib.so ucredit=-1 lcredit=-1 dcredit=-1
检查是否限制用户su到root
vim /etc/pam.d/su
在开头添加下面两行:

auth sufficient pam_rootok.so
auth required pam_wheel.so group=wheel
# 将用户添加组
usermod -G wheel gcs
检查是否设置文件与目录缺省权限
vim /etc/profile

在文件/etc/profile中设置umask 027或UMASK 027,

如果文件中含有umask参数,则需要在最前面设置该参数

检查是否设置命令行界面超时退出
vim /etc/profile,增加

export TMOUT=300
source /etc/profile

检查是否限制root用户远程登录
cat /etc/ssh/sshd_config|grep PermitRootLogin
vim /etc/ssh/sshd_config
# 配置
PermitRootLogin no
service sshd restart
检查是否配置远程日志功能
指定具体服务器ip

vim /etc/rsyslog.conf

rsyslog.*@192.168.212.1
检查FTP用户上传的文件所具有的权限
如果系统使用vsftp:

修改/etc/vsftpd.conf(或者为/etc/vsftpd/vsftpd.conf)

vi /etc/vsftpd.conf

确保以下行未被注释掉,如果没有该行,请添加:

write_enable=YES //允许上传。如果不需要上传权限,此项可不进行更改。
ls_recurse_enable=YES
local_umask=022 //设置用户上传文件的属性为755
anon_umask=022 //匿名用户上传文件(包括目录)的 umask
重启网络服务

/etc/init.d/vsftpd restart
如果系统使用pure-ftp
修改/etc/pure-ftpd/pure-ftpd.conf

vi /etc/pure-ftpd/pure-ftpd.conf
确保以下行未被注释掉,如果没有该行,请添加:

umask 177:077
重启ftp服务

/etc/init.d/pure-ftpd restart
检查是否修改系统banner
mv /etc/issue /etc/issue.bak
mv /etc/issue.net /etc/issue.net.bak
检查FTP Banner设置
修改vsftp回显信息
vi /etc/vsftpd.conf(或/etc/vsftpd/vsftpd.conf)

ftpd_banner=Authorized users only. All activity will be monitored and reported.”
可根据实际需要修改该文件内容。
重启服务:

/etc/init.d/vsftpd restart 或者service vsftpd restart
检查是否启用SSH协议,禁用telnet协议
cat /etc/xinetd.d/telnet|grep disable
vim /etc/xinetd.d/telnet
#修改
disable = yes
service xinetd restart

  

posted @ 2022-09-16 11:50  Leonardo-li  阅读(137)  评论(0编辑  收藏  举报