redhat7.2安全基线BI
(一) Redhat linux7.2安全基线基本型(BI)
1. 密码复杂度策略
/etc/pam.d/system-auth文件中,增加内容
password requisite pam_cracklib.so ucredit=-1 lcredit=-1 dcredit=-1
(字体行距自己调整注:ucredit:大写字母个数;lcredit:小写字母个数;dcredit:数字个数;ocredit:特殊字符个数 )
2. 密码相关配置
vi /etc/login.defs (修改如下)
PASS_MIN_DAYS 0
PASS_MAX_DAYS 90
PASS_MIN_LEN 8
PASS_WARN_AGE 7(更改显示错误)
3. 检查用户umask设置
检查文件/etc/profile中umask设置 077
检查文件/etc/csh.login中umask设置 077
检查文件/etc/csh.cshrc中umask设置 077
检查文件/etc/bashrc(或/etc/bash.bashrc)中umask设置 077 待改(我们默认022)
4. 检查是否设置除root之外UID为0的用户
cat /etc/passwd | awk 'BEGIN {FS=":";ORS=","} {if($1~/^[[:space:]]*[^#]/)if($1!="root")if($3=="0")print$1}'
5. 检查是否存在空口令账号
cat /etc/shadow | awk 'BEGIN{FS=":";ORS=","}{if($2=="")print$1};'|more
6. 检查重要文件属性设置
检查/etc/gshadow文件属性
检查/etc/group文件属性
检查/etc/passwd文件属性
检查/etc/shadow文件属性
chattr +i /etc/gshadow
lsattr /etc/gshadow
7. 检查重要目录或文件权限设置
/etc/xinetd.conf未安装
chmod 600 /etc/security
chmod 644 /etc/services
chmod 750 /etc/rc1.d/
chmod 750 /etc/rc0.d
chmod 750 /etc/rc4.d
chmod 750 /etc/rc2.d
chmod 750 /etc/rc3.d
chmod 750 /etc/rc5.d
chmod 750 /etc/rc6.d
chmod 644 /etc/group
chmod 750 /etc/
chmod 750 /etc/rc.d/init.d
chmod 750 /tmp
chmod 644 /etc/passwd
chmod 400 /etc/shadow
8. 限制用户使用SU命令切换root
编辑 su 文件(vi /etc/pam.d/su),在开头添加下面两行:
auth sufficient pam_rootok.so 和
auth required pam_wheel.so group=wheel
这表明只有 wheel 组的成员可以使用 su 命令成为 root 用户
添加方法为:
usermod –G wheel username
9. 删除潜在危险文件
删除用户 .netrc,.rhosts,.hosts.equiv 文件, 控制用户对资源的访问
l 执行命令find / -maxdepth 3 -name .netrc 2>/dev/null (没有就跳过)
l 进入到.netrc文件存在的目录
l 执行命令:mv .netrc .netrc.bak
10. 检查历史命令设置
编辑文件/etc/profile,
修改HISTSIZE配置为5
HISTSIZE=5
11. 检查是否记录用户对设备的操作
通过设置日志文件可以对每个用户的每一条命令进行记录,这一功能默认是不开放的,为了打开它,需要安装pacct工具,并执行以下命令:
#touch /var/log/pacct
#accton /var/log/pacct
执行读取命令lastcomm [user name] -f /var/log/pacct
12. 检查安全事件日志配置
编辑/etc/rsyslog.conf
配置:
*.err;kern.debug;daemon.notice /var/adm/messages
其中/var/adm/messages为日志文件。
如果该文件不存在,则创建该文件,命令为:
touch /var/adm/messages, 并修改权限为666.命令为:chmod 666 /var/adm/messages.
重启日志服务:
# systemctl restart rsyslog.service
13. 检查是否配置su命令使用情况记录
编辑/etc/rsyslog.conf,
配置:
authpriv.* /var/log/secure
14. 检查是否禁止root用户远程登录
修改/etc/ssh/sshd_config文件,。
#vim /etc/ssh/sshd_config
配置PermitRootLogin no
15. 检查是否设置命令行界面超时退出
#vi /etc/profile (增加如下)
#export TMOUT=600 (单位:秒)
16. 检查 passwd 和 group 文件中是否有不合法的'+' 参数存在
检查 passwd 和 group 文件中是否有不合法的'+' 参数存在
cat /etc/passwd | grep ‘*+*’
cat /etc/passwd | grep ‘*+*’
17. 设置用户登录访问的安全提示信息
l 检查方法
方法1、通过cat命令检查/etc/motd和/etc/issue文件中的banner信息;
方法2、使用SSH远程登录的方式,检查是否会出现warning的信息。
l 增加方法
编辑修改/etc/issue和/etc/motd文件,增加如下内容:
“Authorized users only. All activity may be monitored and reported”
l 修改/etc/issuse和/etc/motd的文件属主和属组:
chown root:sys /etc/motd
chown root:root /etc/issue