Linux 漏洞整改

?

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56

Linux 漏洞问题 1、检查登录提示-更改ftp警告Banner [root@localhost libin]# grep ftpd_banne /etc/vsftpd/vsftpd.conf ftpd_banner="Authorized users only. All activity may be monitored and reported." 重启服务： # /etc/init.d/xinetd restart   2、检查是否禁止匿名ftp [root@localhost libin]#  grep anonymous_enable  /etc/vsftpd/vsftpd.conf anonymous_enable=NO   3、检查FTP配置-设置FTP用户登录后对文件、目录的存取权限 [root@localhost libin]#  grep write_enable=YES  /etc/vsftpd/vsftpd.conf write_enable=YES [root@localhost libin]#  grep ls_recurse_enable  /etc/vsftpd/vsftpd.conf ls_recurse_enable=YES [root@localhost libin]#  grep local_umask  /etc/vsftpd/vsftpd.conf local_umask=022 [root@localhost libin]#   grep anon_umask /etc/vsftpd/vsftpd.conf anon_umask=022 重启网络服务 # rcxinetd restart 重启vsftp服务   4、检查口令策略设置是否符合复杂度要求 [root@localhost libin]#  ll /etc/pam.d/system-auth_bak && ll /etc/pam.d/passwd_bak -rw-r--r-- 1 root root 1387 1月  25 2022 /etc/pam.d/system-auth_bak -rw-r--r-- 1 root root 454 1月  25 2022 /etc/pam.d/passwd_bak   [root@localhost libin]#  grep pam_cracklib /etc/pam.d/system-auth password    requisite     pam_cracklib.so try_first_pass retry=3 type= dcredit=-1 ucredit=-1 lcredit=-1 ocredit=-1 minclass=2 minlen=6 password    requisite     pam_cracklib.so dcredit=-1 ucredit=-1 lcredit=-1 ocredit=-1 minclass=2 minlen=8   [root@localhost libin]# grep pam_cracklib /etc/pam.d/passwd password  requisite pam_cracklib.so minlen=8 ucredit=-1 lcredit=-1 dcredit=-1 ocredit=-1 password  requisite pam_cracklib.so minlen=8 ucredit=-1 lcredit=-1 dcredit=-1 ocredit=-1   tretry=N：重试多少次后返回密码修改错误 difok=N：新密码必需与旧密码不同的位数 dcredit=N：N >= 0密码中最多有多少个数字；N < 0密码中最少有多少个数字 lcredit=N：小写字母的个数 ucredit=N：大写字母的个数 credit=N：特殊字母的个数 minclass=N：密码组成(大/小字母，数字，特殊字符) minlen=N：新密码最短长度 pam_passwdqc主要参数说明: mix:设置口令字最小长度，默认值是mix=disabled。 max:设置口令字的最大长度，默认值是max=40。 passphrase:设置口令短语中单词的最少个数，默认值是passphrase=3，如果为0则禁用口令短语。 match:设置密码串的常见程序，默认值是match=4。 similar:设置当我们重设口令时，重新设置的新口令能否与旧口令相似，它可以是similar=permit允许相似或similar=deny不允许相似。 random:设置随机生成口令字的默认长度。默认值是random=42。设为0则禁止该功能。 enforce:设置约束范围，enforce=none表示只警告弱口令字，但不禁止它们使用；enforce=users将对系统上的全体非根用户实行这一限制；enforce=everyone将对包括根用户在内的全体用户实行这一限制。 non-unix:它告诉这个模块不要使用传统的getpwnam函数调用获得用户信息。 retry:设置用户输入口令字时允许重试的次数，默认值是retry=3 如配置密码长度最小6位，至少包含大小写字母、数字。