linux系统加固
检查口令最小长度 vim /etc/login.defs 设置 PASS_MIN_LEN 8 检查是否设置口令生存周期 vim /etc/login.defs 设置PASS_MAX_DAYS 90 检查设备密码复杂度策略 vim /etc/pam.d/system-auth 追加到password requisite pam_cracklib.so后面(ucredit=-1 lcredit=-1 dcredit=-1) password requisite pam_cracklib.so ucredit=-1 lcredit=-1 dcredit=-1 检查是否限制用户su到root vim /etc/pam.d/su 在开头添加下面两行: auth sufficient pam_rootok.so auth required pam_wheel.so group=wheel # 将用户添加组 usermod -G wheel gcs 检查是否设置文件与目录缺省权限 vim /etc/profile 在文件/etc/profile中设置umask 027或UMASK 027, 如果文件中含有umask参数,则需要在最前面设置该参数 检查是否设置命令行界面超时退出 vim /etc/profile,增加 export TMOUT=300 source /etc/profile 检查是否限制root用户远程登录 cat /etc/ssh/sshd_config|grep PermitRootLogin vim /etc/ssh/sshd_config # 配置 PermitRootLogin no service sshd restart 检查是否配置远程日志功能 指定具体服务器ip vim /etc/rsyslog.conf rsyslog.*@192.168.212.1 检查FTP用户上传的文件所具有的权限 如果系统使用vsftp: 修改/etc/vsftpd.conf(或者为/etc/vsftpd/vsftpd.conf) vi /etc/vsftpd.conf 确保以下行未被注释掉,如果没有该行,请添加: write_enable=YES //允许上传。如果不需要上传权限,此项可不进行更改。 ls_recurse_enable=YES local_umask=022 //设置用户上传文件的属性为755 anon_umask=022 //匿名用户上传文件(包括目录)的 umask 重启网络服务 /etc/init.d/vsftpd restart 如果系统使用pure-ftp 修改/etc/pure-ftpd/pure-ftpd.conf vi /etc/pure-ftpd/pure-ftpd.conf 确保以下行未被注释掉,如果没有该行,请添加: umask 177:077 重启ftp服务 /etc/init.d/pure-ftpd restart 检查是否修改系统banner mv /etc/issue /etc/issue.bak mv /etc/issue.net /etc/issue.net.bak 检查FTP Banner设置 修改vsftp回显信息 vi /etc/vsftpd.conf(或/etc/vsftpd/vsftpd.conf) ftpd_banner=Authorized users only. All activity will be monitored and reported.” 可根据实际需要修改该文件内容。 重启服务: /etc/init.d/vsftpd restart 或者service vsftpd restart 检查是否启用SSH协议,禁用telnet协议 cat /etc/xinetd.d/telnet|grep disable vim /etc/xinetd.d/telnet #修改 disable = yes service xinetd restart