Linux 漏洞问题
1、检查登录提示-更改ftp警告Banner
[root@localhost libin]# grep ftpd_banne /etc/vsftpd/vsftpd.conf
ftpd_banner="Authorized users only. All activity may be monitored and reported."
重启服务:
# /etc/init.d/xinetd restart
2、检查是否禁止匿名ftp
[root@localhost libin]# grep anonymous_enable /etc/vsftpd/vsftpd.conf
anonymous_enable=NO
3、检查FTP配置-设置FTP用户登录后对文件、目录的存取权限
[root@localhost libin]# grep write_enable=YES /etc/vsftpd/vsftpd.conf
write_enable=YES
[root@localhost libin]# grep ls_recurse_enable /etc/vsftpd/vsftpd.conf
ls_recurse_enable=YES
[root@localhost libin]# grep local_umask /etc/vsftpd/vsftpd.conf
local_umask=022
[root@localhost libin]# grep anon_umask /etc/vsftpd/vsftpd.conf
anon_umask=022
重启网络服务
# rcxinetd restart
重启vsftp服务
4、检查口令策略设置是否符合复杂度要求
[root@localhost libin]# ll /etc/pam.d/system-auth_bak && ll /etc/pam.d/passwd_bak
-rw-r--r-- 1 root root 1387 1月 25 2022 /etc/pam.d/system-auth_bak
-rw-r--r-- 1 root root 454 1月 25 2022 /etc/pam.d/passwd_bak
[root@localhost libin]# grep pam_cracklib /etc/pam.d/system-auth
password requisite pam_cracklib.so try_first_pass retry=3 type= dcredit=-1 ucredit=-1 lcredit=-1 ocredit=-1 minclass=2 minlen=6
password requisite pam_cracklib.so dcredit=-1 ucredit=-1 lcredit=-1 ocredit=-1 minclass=2 minlen=8
[root@localhost libin]# grep pam_cracklib /etc/pam.d/passwd
password requisite pam_cracklib.so minlen=8 ucredit=-1 lcredit=-1 dcredit=-1 ocredit=-1
password requisite pam_cracklib.so minlen=8 ucredit=-1 lcredit=-1 dcredit=-1 ocredit=-1
tretry=N:重试多少次后返回密码修改错误
difok=N:新密码必需与旧密码不同的位数
dcredit=N:N >= 0密码中最多有多少个数字;N < 0密码中最少有多少个数字
lcredit=N:小写字母的个数
ucredit=N:大写字母的个数
credit=N:特殊字母的个数
minclass=N:密码组成(大/小字母,数字,特殊字符)
minlen=N:新密码最短长度
pam_passwdqc主要参数说明:
mix:设置口令字最小长度,默认值是mix=disabled。
max:设置口令字的最大长度,默认值是max=40。
passphrase:设置口令短语中单词的最少个数,默认值是passphrase=3,如果为0则禁用口令短语。
match:设置密码串的常见程序,默认值是match=4。
similar:设置当我们重设口令时,重新设置的新口令能否与旧口令相似,它可以是similar=permit允许相似或similar=deny不允许相似。
random:设置随机生成口令字的默认长度。默认值是random=42。设为0则禁止该功能。
enforce:设置约束范围,enforce=none表示只警告弱口令字,但不禁止它们使用;enforce=users将对系统上的全体非根用户实行这一限制;enforce=everyone将对包括根用户在内的全体用户实行这一限制。
non-unix:它告诉这个模块不要使用传统的getpwnam函数调用获得用户信息。
retry:设置用户输入口令字时允许重试的次数,默认值是retry=3
如配置密码长度最小6位,至少包含大小写字母、数字。
