Linux基线加固

100

101

102

103

104

105

106

107

108

109

110

111

112

113

114

115

116

117

118

119

120

121

122

123

124

125

126

127

128

129

130

131

132

133

134

135

136

137

138

139

140

141

142

143

144

145

146

147

148

149

150

151

152

153

154

155

156

157

158

159

160

161

162

163

164

165

166

167

168

169

170

171

172

173

174

175

176

177

178

179

180

181

182

183

184

185

186

187

188

189

190

191

192

193

194

195

196

197

198

199

200

201

202

203

204

205

206

207

208

209

210

211

212

213

214

215

216

217

218

219

220

221

222

223

224

225

226

227

228

229

230

231

232

233

234

235

236

237

238

239

240

241

242

243

244

245

246

247

248

249

250

251

252

253

254

255

256

257

258

259

260

261

262

263

264

265

266

267

268

269

270

271

272

273

274

275

276

277

278

279

280

281

282

283

284

285

286

287

288

289

290

291

292

293

294

295

296

297

298

299

300

301

302

303

304

305

306

307

308

309

310

311

312

313

314

315

316

317

318

319

320

321

322

323

324

325

326

327

328

329

330

331

332

333

334

335

336

337

338

339

340

341

342

343

344

345

346

347

348

349

350

351

352

353

354

355

356

357

358

359

360

361

362

363

364

365

366

367

368

369

370

371

372

373

374

375

376

377

378

379

380

381

382

383

384

385

386

387

388

389

390

391

392

393

394

395

396

397

398

399

400

401

402

403

404

405

406

407

408

409

410

411

412

413

414

415

416

417

418

419

420

421

422

423

424

425

426

427

428

429

430

431

432

433

434

435

436

437

438

439

440

441

442

443

444

445

446

447

448

449

450

451

452

453

454

455

456

457

458

459

460

461

462

463

464

465

466

467

1、修改vsftp回显信息
(1)检查办法
修改vsftp回显信息：
需在安装VSFTP的情况下检查，未安装可忽略或禁用该项。
查看ftpd_banner的值。
查看命令：cat /etc/vsftpd/vsftpd.conf
(2)加固配置
修改vsftp回显信息：
1. 修改vsftp回显信息
# vi /etc/vsftpd.conf
ftpd_banner=" Authorized users only. All activity may be monitored and reported."
可根据实际需要修改该文件内容。
重启服务：
/etc/init.d/xinetd restart
 
===================================================
2、隐藏SSH的Banner信息
(1)检查办法
隐藏SSH的Banner信息：
查看sshd_config文件中是否存在未注释的Banner /etc/issue.net行，不存在未注释的Banner行或Banner值为none视为合规
查看命令：cat /etc/ssh/sshd_config
(2)加固配置
隐藏SSH的Banner信息：
1. 备份sshd_config文件
cp -p /etc/ssh/sshd_config /etc/ssh/sshd_config_bak
2. 编辑sshd_config，注释或删除Banner行
vim /etc/ssh/sshd_config
在Banner行前添加井号#
===================================================
3、账户目录中不存在危险文件
(1)检查办法
账户目录中不存在.rhosts文件：
返回值不包含.rhosts文件
查看命令：ls -la $(cut -d":" -f6 /etc/passwd) 2>/dev/null| grep -E ".rhosts|/" --color=never
账户目录中不存在.netrc文件：
返回值中不包含.netrc文件
查看命令：ls -la $(cut -d":" -f6 /etc/passwd) 2>/dev/null| grep -E ".netrc|/" --color=never
 
(2)加固配置
账户目录中不存在.rhosts文件：
1、根据检查命令查询出的结果路径备份.rhosts文件（与管理员确认无用后可删除）
2、删除.rhosts文件
rm -f filename
 
账户目录中不存在.netrc文件：
1、根据检查命令查询出的结果路径备份.netrc文件（与管理员确认无用后可删除）
2、删除.netrc文件
rm -f filename
===================================================
4、Wuftp的banner信息
(1)检查办法
Wuftp的banner信息：
通过外部ftp客户端登录，banner按照预先设定的显示
查看命令：cat `cat /etc/ftpaccess |grep -v "#"|grep ^banner |awk -F " *" '{print $2}'` 1 2>/dev/null
(2)加固配置
Wuftp的banner信息：
样例：
修改文件/etc/ftpaccess，在其中添加，如：
banner /thisftpbannerfile
在指定目录下创建包含ftp的banner信息的文件
touch /thisftpbannerfile
编辑文件
vi /thisftpbannerfile
在其中添加banner信息，例如
this is banner
===================================================
5、隐藏Telnet的Banner信息
(1)检查办法
隐藏Telnet的Banner信息：
查看文件和/etc/issue.net是否包含类似如下内容：
" Authorized users only. All activity may be monitored and reported "
查看命令：cat /etc/issue.net
(2)加固配置
隐藏Telnet的Banner信息：
由于默认的提示信息中包含操作系统版本，因此需要修改以防版本信息泄露。
1. 备份配置信息
cp -p /etc/issue.net /etc/issue.net_bak
2. 修改issue.net文件的内容
vim /etc/issue.net
将原有内容改为如下行
Authorized users only. All activity may be monitored and reported
===================================================
6、配置ssh等加密协议
(1)检查办法
关闭telnet服务，23端口不存在监听：
不存在telnet相关进程视为合规
查看命令：lsof -i >/tmp/tmplsoftmp.txt;cat /tmp/tmplsoftmp.txt;rm -rf /tmp/tmplsoftmp.txt
 
开启ssh服务，22端口监听：
存在sshd进程视为合规
查看命令：ps -elf | grep -v "grep"
(2)加固配置
关闭telnet服务，23端口不存在监听：
关闭telnet服务
编辑#vi /etc/xinetd.d/telnet文件，把disable项改为yes,即disable = yes
然后运行service xinetd restart，telnet就可以关闭掉了
 
开启ssh服务，22端口监听：
开启ssh服务
service sshd start
或 /etc/init.d/sshd start
===================================================
7、关闭不必要的服务
(1)检查办法
关闭不必要的服务：
查看服务列表，列出所需要服务的列表(包括所需的系统服务)，不在此列表的服务需关闭，保障系统业务最小化。
查看命令：LANG="en_US" chkconfig --list > /tmp/systemctl.txt && cat /tmp/systemctl.txt
rm -f /tmp/systemctl.txt
(2)加固配置
关闭不必要的服务：
禁止非必要服务
chkconfig [service] off
===================================================
8、查看账户组和组内用户
(1)检查办法
查看账户组和组内用户：
查看group文件中的组名，和组下的成员信息是否正确。
查看命令：cat /etc/group
(2)加固配置
查看账户组和组内用户：
1. 执行备份：
cp -p /etc/group /etc/group_bak
2. 修改用户所属组：
usermod -g group username
===================================================
9、对系统账号进行登录限制
(1)检查办法
对系统账号进行登录限制：
查看passwd文件中用户信息(gopher,sync,games,operator,news,halt,shutdown,webservd,nobody4,noaccess,uucp,lp,nobody,gdm,listen)的最后一个字段登录shell配置为 /sbin/nologin 或 /bin/false 或 /usr/sbin/nologin
查看命令：cat /etc/passwd
(2)加固配置
对系统账号进行登录限制：
1. 备份passwd文件
cp -p /etc/passwd /etc/passwd_bak
2. 编辑passwd文件
vi /etc/passwd
依次修改需要锁定的账号(gopher,sync,games,operator,news,halt,shutdown,webservd,nobody4,noaccess,uucp,lp,nobody,gdm,listen)的登录shell为 /sbin/nologin 或 /bin/false （推荐配置为此项） 或 /usr/sbin/nologin
 
补充说明：
/bin/false:什么也不做只是返回一个错误状态，然后立即退出。将用户的shell设置为/bin/false，用户会无法登陆，并且不会有任何提示
/usr/sbin/nologin:会礼貌的向用户显示一条信息，并拒绝用户登录：This account is currently not available
/sbin/nologin:同上
/usr/sbin/nologin或/sbin/nologin的配置可以根据实际情况进行选择
===================================================
10、删除或锁定无用账号
(1)检查办法
删除或锁定无用账号：
查看账号（daemon，adm，nuucp，smmsp，sys，bin，lp，sync，shutdown，halt，news，uucp，operator，games，gopher，nobody）密码状态，为LK视为合规。
查看命令：passwd -S daemon;passwd -S adm;passwd -S nuucp;passwd -S smmsp;passwd -S sys;passwd -S bin;passwd -S lp;passwd -S sync;passwd -S shutdown;passwd -S halt;passwd -S news;passwd -S uucp;passwd -S operator;passwd -S games;passwd -S gopher;passwd -S nobody;
 
(2)加固配置
删除或锁定无用账号：
执行命令 passwd -l <username> 锁定账号<username>，此处<username>需依次替换为daemon，adm，nuucp，smmsp，sys，bin，lp，sync，shutdown，halt，news，uucp，operator，games，gopher，nobody
 
注意：锁定账户会导致原密码丢失，谨慎操作。
===================================================
11、定时账户自动登出
(1)检查办法
bash下空闲等待时间TMOUT设置：
TMOUT的值大于0且小于等于300视为合规
查看命令：export
(2)加固配置
bash下空闲等待时间TMOUT设置：
1. 备份/etc/profile文件
cp /etc/profile /etc/profile_bak
2. 编辑profile文件
vim /etc/profile
修改/新增
TMOUT=300
export TMOUT
或
export TMOUT=300
保存退出
3.执行source /etc/profile 命令使修改生效
===================================================
12、配置远程日志服务器
(1)检查办法
配置远程日志服务器：
查看日志文件中是否配置远程日志服务器，存在远程日志服务器视为合规，即存在@LogHostIP（LogHostIP的具体值是否准确需要人工判断）。
查看命令：cat /etc/rsyslog.conf;cat /etc/syslog.conf;cat /etc/rsyslog.d/50-default.conf
(2)加固配置
配置远程日志服务器：
1. 备份配置文件
cp -p /etc/rsyslog.conf /etc/rsyslog.conf_bak
2. 编辑配置文件
vim /etc/rsyslog.conf
添加如下行
*.* @192.168.0.1
（以上的*.*为需要传输到远程日志服务器的内容，@IP为远程日志服务器的地址。以上参数都需要根据实际情况调整，系统只判断是否配置@IP，具体IP的准确性，需要人工判断）
===================================================
13、对用户登录认证、权限变更进行记录
(1)检查办法
配置记录用户权限变更日志：
查看是否存在authpriv.info /<path>或authpriv.* /<path> 存在视为合规。
查看命令：cat /etc/rsyslog.conf;cat /etc/syslog.conf;cat /etc/rsyslog.d/50-default.conf
(2)加固配置
配置记录用户权限变更日志：
备份/etc/rsyslog.conf文件
cp /etc/rsyslog.conf /etc/rsyslog.conf_bak
编辑/etc/rsyslog.conf文件
vim /etc/rsyslog.conf
备份需要配置的文件
添加authpriv.info /<path>或authpriv.* /<path>。
===================================================
14、配置记录cron行为日志功能
(1)检查办法
配置记录cron行为日志功能：
存在cron.* /<path>视为合规。
查看命令：cat /etc/rsyslog.conf;cat /etc/syslog.conf;cat /etc/rsyslog.d/50-default.conf
 
(2)加固配置
配置记录cron行为日志功能：
备份/etc/rsyslog.conf文件
cp /etc/rsyslog.conf /etc/rsyslog.conf_bak
编辑/etc/rsyslog.conf文件
vim /etc/rsyslog.conf
添加cron.* /var/log/cron
保存退出
===================================================
15、日志文件读写权限
 
(1)检查办法
/var/log日志文件权限：
查看/var/log文件夹日志权限，按账户分配日志文件读取、修改和删除权限
如：messages、secure、maillog、cron、spooler、boot.log文件权限是否合规
查看命令：ls -la /var/log | grep -E "messages$|secure$|maillog$|cron$|spooler$|boot.log$" --color=never
(2)加固配置
/var/log日志文件权限：
1、备份需要修改的文件，messages、secure、maillog、cron、spooler、boot.log文件
样例：cp /var/log/fileName (此处fileName依次替换为messages、secure、maillog、cron、spooler、boot.log文件)
2、设置文件权限。
样例：chmod 644 fileName (此处fileName依次替换为messages、secure、maillog、cron、spooler、boot.log文件)
 
===================================================
16、查看补丁信息
(1)检查办法
查看补丁信息：
查看版本信息及/var/sadm/patch目录下补丁包信息（若补丁包在其他目录下需人工执行命令查看）
查看命令：uname -a;ls /var/sadm/patch --color=never
(2)加固配置
查看补丁信息：
定期更新升级，可以使用OnlineUpdate或Patch CD Update等方式升级系统补丁（此处不做详细说明）
===================================================
17、检查新建用户的home目录的缺省访问权限
(1)检查办法
检查新建用户的home目录的缺省访问权限：
查看login.defs中是否存在UMASK 027，存在视为合规。
查看命令：cat /etc/login.defs
(2)加固配置
检查新建用户的home目录的缺省访问权限：
设置默认权限：
备份文件
cp /etc/login.defs /etc/login.defs_bak
编辑文件
vi /etc/login.defs 在末尾增加UMASK 027（若之前存在UMASK循环函数，则需要先将整段循环注释），将缺省访问权限设置为750。
补充说明：
UMASK 的默认设置一般为022，这给新创建的文件默认权限755(777-022=755），这会给文件所有者读、写权限，但只给组成员和其它用户读权限。
===================================================
18、禁止匿名FTP
(1)检查办法
vsftp中禁止匿名ftp：
存在anonymous_enable=NO视为合规
查看命令：cat /etc/vsftpd/vsftpd.conf
(2)加固配置
vsftp中禁止匿名ftp：
1.备份vsftpd.conf文件
2.编辑vsftpd.conf文件
vi /etc/vsftpd/vsftpd.conf
修改或添加anonymous_enable的值为NO
anonymous_enable=NO
===================================================
19、限制具备超级管理员权限的用户远程登录
(1)检查办法
禁止root用户远程登录：
查看sshd_config文件中PermitRootLogin的值是否为no,为no视为合规。
查看命令：cat /etc/ssh/sshd_config
(2)加固配置
禁止root用户远程登录：
1. 备份文件
cp -p /etc/ssh/sshd_config /etc/ssh/sshd_config_bak
2. 编辑文件
vim /etc/ssh/sshd_config
添加或修改如下行
PermitRootLogin no
 
注：重启ssh服务生效
===================================================
20、检查是否指定用户组成员使用su命令
(1)检查办法
检查是否指定用户组成员使用su命令：
存在auth required pam_wheel.so group=wheel视为合规（其中wheel组为可以su到root的用户组，具体值参照正则）
查看命令：cat /etc/pam.d/su
(2)加固配置
检查是否指定用户组成员使用su命令：
备份文件
cp /etc/pam.d/su /etc/pam.d/su_bak
编辑文件
vi /etc/pam.d/su
添加或修改如下行auth required pam_wheel.so group=wheel（wheel具体标准值参照正则）
其中wheel组为可以su到root的用户组，可以自己定义
 
===================================================
21、设置FTP权限及访问，限制部分用户的ftp访问权限
(1)检查办法
查看Ftp权限配置/etc/ftpaccess：
需人工查看用户黑名单是否合规。
查看命令：cat /etc/ftpaccess
(2)加固配置
查看Ftp权限配置/etc/ftpaccess：
编辑ftpaccess文件，将禁止访问的用户加入到名单中
===================================================
22、分配不同账号，避免不同用户间共享账号
(1)检查办法
分配不同账号，避免不同用户间共享账号：
1、判定条件
不存在不同用户间共享同一帐户的情况。
2、检测操作
1）使用命令“cat /etc/passwd ”查看系统帐户列表；
2）访谈系统管理员，询问各帐户的使用人情况；
3）判定是否存在不同用户共享帐户的情况。
查看命令：cat /etc/passwd
(2)加固配置
分配不同账号，避免不同用户间共享账号：
1、参考配置操作
1）为用户创建帐户：
#useradd username //创建帐户；
#passwd username //设置密码。
===================================================
23、访问控制
(1)检查办法
Vsftp的chroot list配置：
查看chroot_list中的用户是否合理。
查看命令：cat /etc/vsftpd/chroot_list
 
(2)加固配置
Vsftp的chroot list配置：
修改chroot_list中的用户，凡是加在文件vsftpd.chroot_list中的用户都是不受限制的用户，即可以浏览其主目录的上级目录。
注意：要想使chroot_list中的配置生效，要先在vsftpd.conf中配置如下内容
chroot_local_user＝YES(可以为YES或NO)
chroot_list_enable=YES(这行必须要有, 否则文件vsftpd.chroot_list不会起作用)
chroot_list_file=/etc/vsftpd.chroot_list
===================================================
24、重要目录和文件的权限进行设置
(1)检查办法
passwd文件权限：
查看passwd文件的权限，应为小于等于rw-r--r--的合理值（其他组用户权限不高于所属组用户，以此类推）
查看命令：stat /etc/passwd
 
shadow文件权限：
查看shadow文件的权限，应为小于等于r--------的合理值（其他组用户权限不高于所属组用户，以此类推）
查看命令：stat /etc/shadow
 
group文件权限：
查看group文件的权限，应为小于等于rw-r--r--的合理值（其他组用户权限不高于所属组用户，以此类推）
查看命令：stat /etc/group
(2)加固配置
passwd文件权限：
1.备份文件
2.执行如下命令修改权限
chmod rw-r--r-- /etc/passwd
 
shadow文件权限：
1.备份文件
2.执行如下命令修改权限
chmod r-------- /etc/shadow
 
group文件权限：
1.备份文件
2.执行如下命令修改权限
chmod rw-r--r-- /etc/group
===================================================
25、账户口令安全符合要求
(1)检查办法
设置账户口令有效期：
PASS_MAX_DAYS的值大于0且小于等于90视为合规
查看命令：cat /etc/login.defs
(2)加固配置
设置账户口令有效期：
1.执行命令备份需要修改的配置文件
2.编辑配置文件login.defs
vim /etc/login.defs
添加或修改PASS_MAX_DAYS为小于等于90,且大于0的值
PASS_MAX_DAYS 90
注：若在shadow文件中设置相应限制信息，则shadow文件配置优先生效。
===================================================
26、检查密码长度及复杂度策略
(1)检查办法
密码长度是否符合要求：
查看PASS_MIN_LEN的值是否合规
查看命令：cat /etc/login.defs
 
检查密码字符串中含大写字符个数：
ucredit的值小于等于-1视为合规
查看命令：cat /etc/pam.d/system-auth;cat /etc/pam.d/common-password;cat /etc/security/pwquality.conf;cat /etc/pam.d/passwd
 
检查密码字符串中含小写字符个数：
lcredit的值小于等于-1视为合规
查看命令：cat /etc/pam.d/system-auth;cat /etc/pam.d/common-password;cat /etc/security/pwquality.conf;cat /etc/pam.d/passwd
 
检查密码字符串中含特殊字符个数：
ocredit的值小于等于-1视为合规
查看命令：cat /etc/pam.d/system-auth;cat /etc/pam.d/common-password;cat /etc/security/pwquality.conf;cat /etc/pam.d/passwd
 
检查密码字符串中含数字个数：
dcredit的值小于等于-1视为合规
查看命令：cat /etc/pam.d/system-auth;cat /etc/pam.d/common-password;cat /etc/security/pwquality.conf;cat /etc/pam.d/passwd
(2)加固配置
密码长度是否符合要求：
1. 备份login.defs文件
cp -p /etc/login.defs /etc/login.defs_bak
2. 修改login.denfs文件
vim /etc/login.defs
修改或添加PASS_MIN_LEN值为8
PASS_MIN_LEN 8
 
注：若在shadow文件中设置相应限制信息，则shadow文件配置优先生效。
 
检查密码字符串中含大写字符个数：
方法一（使用pam_cracklib.so模块）：
1.备份需要编辑的文件/etc/pam.d/system-auth或/etc/pam.d/passwd
cp /etc/pam.d/system-auth /etc/pam.d/system-auth_bak
或cp /etc/pam.d/passwd /etc/pam.d/passwd_bak
2.修改配置文件system-auth或passwd
password required pam_cracklib.so dcredit=-1 ucredit=-1 lcredit=-1 ocredit=-1
3.保存退出。
 
方法二（使用pam_pwquality.so模块）：
1.备份需要编辑的文件/etc/pam.d/system-auth或/etc/pam.d/passwd，和cat /etc/security/pwquality.conf
cp /etc/security/pwquality.conf /etc/security/pwquality.conf_bak
cp /etc/pam.d/system-auth /etc/pam.d/system-auth_bak
或cp /etc/pam.d/passwd /etc/pam.d/passwd_bak
2.修改配置system-auth或passwd文件
首先配置password required pam_pwquality.so
password required pam_pwquality.so dcredit=-1 ucredit=-1 lcredit=-1 ocredit=-1
或在pwquality.conf中修改
dcredit=-1
ucredit=-1
lcredit=-1
ocredit=-1
3.保存退出。
 
注：/etc/pam.d/system-auth和/etc/pam.d/passwd修改一个即可。
 
检查密码字符串中含小写字符个数：
同上
 
检查密码字符串中含特殊字符个数：
同上
 
检查密码字符串中含数字个数：
同上
===================================================
27、etc目录中不存在hosts.equiv文件
(1)检查办法
etc目录中不存在hosts.equiv文件：
返回值不包含hosts.equiv文件视为合规
查看命令：ls -la /etc --color=never
(2)加固配置
etc目录中不存在hosts.equiv文件：
1、备份hosts.equiv文件
cp /etc/hosts.equiv /etc/hosts.equiv_bak
2、删除hosts.equiv文件
cd /etc
rm -f hosts.equiv
3.与管理员确认hosts.enquiv文件是否确认无用，确认无用的情况下，删除/etc/hosts.equiv_bak
cd /etc
rm -f hosts.equiv_bak