一（yī）. 賬戶安全

1.1 鎖定係統中多（duō）餘的（de）自（zì）建（jiàn）帳號

檢（jiǎn）查方法:

執行命令

#cat /etc/passwd

#cat /etc/shadow

查看賬戶、口令文件，與（yǔ）係統（tǒng）管理員確認不必要的賬號。對於一些保留的係（xì）統偽帳戶如：bin, sys，adm，uucp，lp, nuucp，hpdb, www, daemon等可根據需（xū）要鎖（suǒ）定登陸。

備份方（fāng）法：

#cp -p /etc/passwd /etc/passwd_bak

#cp -p /etc/shadow /etc/shadow_bak

加固方法:

使用命令passwd -l <用戶名>鎖定不必要（yào）的賬號。

使用命令passwd -u <用戶名>解鎖需要恢複的賬號。

1.2設置係（xì）統口令策略

檢查方法：

使用命令

#cat /etc/login.defs|grep PASS查看密碼策略設置

備（bèi）份方法（fǎ）：

cp -p /etc/login.defs /etc/login.defs_bak

加固（gù）方法：

#vi /etc/login.defs修改配置文件

PASS_MAX_DAYS 90 #新建用戶的密碼最長使用天數

PASS_MIN_DAYS 0 #新建用戶的密碼最短使用天數

PASS_WARN_AGE 7 #新建用戶（hù）的密碼到期提前提醒天數

PASS_MIN_LEN 9 #最小密碼長度9

1.3禁用root之外的超級用戶

檢（jiǎn）查（chá）方法：

#cat /etc/passwd 查看口令文件，口令文件格式如下：

login_name：password：user_ID：group_ID：comment：home_dir：command

login_name：用戶名

password：加密後的用戶（hù）密碼

user_ID：用戶ID，(1 ~ 6000) 若用戶ID=0，則該用戶（hù）擁有超（chāo）級（jí）用戶的權限。查看此處是否有多個ID=0。

group_ID：用戶組ID

comment：用戶全名或（huò）其（qí）它注釋信息

home_dir：用戶根目錄

command：用戶（hù）登錄後的執行命令

備份方法：

#cp -p /etc/passwd /etc/passwd_bak

加固方（fāng）法：

使用命令passwd -l <用戶名>鎖定不必要的超級賬戶。

使用命令passwd -u <用戶名>解鎖需要恢複的超級賬戶。

風險：需要與管理員確認此超級用戶的用途。

1.4 限製能夠su為root的用戶

檢查方法：

#cat /etc/pam.d/su,查看是否有auth required /lib/security/pam_wheel.so這樣的配置條目

備份方法（fǎ）：#cp -p /etc/pam.d /etc/pam.d_bak

加固方法：

#vi /etc/pam.d/su

在頭部（bù）添（tiān）加：

auth required /lib/security/pam_wheel.so group=wheel

這樣，隻有wheel組的用戶可以su到root

#usermod -G10 test 將test用戶加入到wheel組

當係統驗證出現問題時，首先應當（dāng）檢查/var/log/messages或者/var/log/secure中（zhōng）的輸出信息，根據這些信息判斷用戶賬號的有效

性。如果是因為PAM驗證（zhèng）故障，而引起root也無法登錄，隻能使用single user或者rescue模式進行排錯。

1.5 檢查shadow中空口令帳號

檢查方法：

#awk -F: '( == "") { print }' /etc/shadow

備份方法（fǎ）：cp -p /etc/shadow /etc/shadow_bak

加（jiā）固方法：對空口（kǒu）令（lìng）賬號進行（háng）鎖定，或要求增加（jiā）密碼

二、最小化服務

2.1 停止或禁用與承（chéng）載業務無關的服務

檢查方（fāng）法：

#who –r或runlevel 查看當前init級別

#chkconfig --list 查看所有服務的狀態

備份方（fāng）法：記錄需要關閉服務的名（míng）稱

加（jiā）固方法：

#chkconfig --level <服務名（míng）> on|off|reset 設置服（fú）務在個init級別下開機是（shì）否啟動

三、數據訪問控製

3.1 設（shè）置合理的初始文件權限

檢（jiǎn）查方（fāng）法（fǎ）：

#cat /etc/profile 查看umask的值

備（bèi）份方法：

#cp -p /etc/profile /etc/profile_bak

加固方（fāng）法：

#vi /etc/profile

umask=027

風險：會修改新建文件的默認（rèn）權限，如果該服（fú）務器是WEB應用，則此項謹慎修改。

四、網絡訪問控製

4.1 使用SSH進行管理

檢查方法：

#ps –aef | grep sshd 查看有無此（cǐ）服務

備份方法：

加（jiā）固方法（fǎ）：

使用命（mìng）令開啟ssh服務

#service sshd start

風險：改變管理員的使用習慣（guàn）

4.2 設置（zhì）訪問控製策（cè）略限製能夠管（guǎn）理本機的IP地址

檢查方法：

#cat /etc/ssh/sshd_config 查看有無AllowUsers的語句

備份方法：

#cp -p /etc/ssh/sshd_config /etc/ssh/sshd_config_bak

加固方法：

#vi /etc/ssh/sshd_config，添加（jiā）以下語句

AllowUsers *@10.138.*.* 此句意為：僅允許10.138.0.0/16網段所有用（yòng）戶通（tōng）過ssh訪問

保存後重啟ssh服務

#service sshd restart

風險（xiǎn）：需要和管理員確認能夠管理的IP段

4.3 禁止root用戶遠（yuǎn）程登陸

檢查（chá）方法：

#cat /etc/ssh/sshd_config 查看PermitRootLogin是否為no

備份方法（fǎ）：

#cp -p /etc/ssh/sshd_config /etc/ssh/sshd_config_bak

加固方法：

#vi /etc/ssh/sshd_config

PermitRootLogin no

保存後重（chóng）啟（qǐ）ssh服（fú）務

service sshd restart

4.4 限定信任（rèn）主機

檢查方法：

#cat /etc/hosts.equiv 查看其中的（de）主機

#cat /$HOME/.rhosts 查看其中的主機

備份方法：

#cp -p /etc/hosts.equiv /etc/hosts.equiv_bak

#cp -p /$HOME/.rhosts /$HOME/.rhosts_bak

加固方法：

#vi /etc/hosts.equiv 刪除其中不（bú）必要的主機

#vi /$HOME/.rhosts 刪除其中（zhōng）不必要（yào）的主（zhǔ）機

風險（xiǎn）：在多機互備的環境中，需要保留其他主機的IP可信任。

4.5 屏蔽登錄banner信（xìn）息

檢查方法：

#cat /etc/ssh/sshd_config 查看文件中是否存（cún）在Banner字段（duàn），或banner字段為NONE

#cat /etc/motd 查看文件內容，該處（chù）內容將作為banner信（xìn）息（xī）顯示給登錄用戶。

備份方法：

#cp -p /etc/ssh/sshd_config /etc/ssh/sshd_config_bak

#cp -p /etc/motd /etc/motd_bak

加固方法：

#vi /etc/ssh/sshd_config

banner NONE

#vi /etc/motd

刪除全部內容或更新成自己想要添（tiān）加的內容

風險：無可見風險

4.6 防（fáng）止誤使用Ctrl+Alt+Del重啟係統

檢查方法：

#cat /etc/inittab|grep ctrlaltdel 查看輸入行（háng）是否被注釋

備份方法：

#cp -p /etc/inittab /etc/inittab_bak

加固方法：

#vi /etc/inittab

在行開頭（tóu）添加（jiā）注釋符號“#”

#ca::ctrlaltdel:/sbin/shutdown -t3 -r now

五、用戶鑒別

5.1 設置帳戶鎖定（dìng）登（dēng）錄失敗鎖定次數、鎖定（dìng）時間

檢查方法：

#cat /etc/pam.d/system-auth 查看有無（wú）auth required pam_tally.so條目（mù）的設置

備份方法：

#cp -p /etc/pam.d/system-auth /etc/pam.d/system-auth_bak

加固方法：

#vi /etc/pam.d/system-auth

auth required pam_tally.so onerr=fail deny=6 unlock_time=300 設置為密碼連續錯誤6次（cì）鎖定，鎖定時間300秒

解鎖用戶 faillog -u <用戶名> -r

風（fēng）險：需要PAM包的支持;對pam文件的修改應仔細（xì）檢查，一旦出現錯誤會導致無法登陸（lù）;

當係統驗證出現問題時，首先應當檢查/var/log/messages或者/var/log/secure中的輸出信息，根據這些信息判斷用戶賬號的有效性。

5.2 修改帳戶TMOUT值，設置自動注銷（xiāo）時間

檢查（chá）方法：

#cat /etc/profile 查看有無TMOUT的設置（zhì）

備份方法：

#cp -p /etc/profile /etc/profile_bak

加固方（fāng）法：

#vi /etc/profile

增加

TMOUT=600 無操作（zuò）600秒後自動退出

風險：無可見風險

5.3 Grub/Lilo密碼

檢查方法（fǎ）：

#cat /etc/grub.conf|grep password 查看grub是否設置密碼

#cat /etc/lilo.conf|grep password 查看lilo是否設置密（mì）碼

備份方法：

#cp -p /etc/grub.conf /etc/grub.conf_bak

#cp -p /etc/lilo.conf /etc/lilo.conf_bak

加固方法：為grub或（huò）lilo設置密碼（mǎ）

風險：etc/grub.conf通常會鏈接（jiē）到/boot/grub/grub.conf

5.4 限製FTP登錄

檢查方法：

#cat /etc/ftpusers 確認是否包含用戶名，這些用（yòng）戶名不允許登錄（lù）FTP服務

備份方法：

#cp -p /etc/ftpusers /etc/ftpusers_bak

加固方法：

#vi /etc/ftpusers 添加行，每行包含一個用戶名，添加的用戶（hù）將被禁止登錄（lù）FTP服務

風（fēng）險：無可見風險

5.5 設置Bash保留曆史命令的條數

檢查方法：

#cat /etc/profile|grep HISTSIZE=

#cat /etc/profile|grep HISTFILESIZE= 查（chá）看保留曆史命令的條數

備份方法：

#cp -p /etc/profile /etc/profile_bak

加固方法：

#vi /etc/profile

修改HISTSIZE=5和HISTFILESIZE=5即保留最新執行的5條命令

六、審計策略

6.1 配（pèi）置係統（tǒng）日誌策略配置文件

檢查方法：

#ps –aef | grep syslog 確認syslog是否啟用

#cat /etc/syslog.conf 查（chá）看syslogd的配置，並確認日誌（zhì）文件是否存在

係統（tǒng）日誌(默認)/var/log/messages

cron日誌(默認)/var/log/cron

安全日誌(默認)/var/log/secure

備份方（fāng）法：

<