2014系统加固规.docVIP

Linux系统加固规范 山东省计算中心 2012年6月 账号管理、认证授权 Linux-01-01-01 编号 Linux-01-01-01 名称 为不同的管理员分配不同的账号 实施目的 根据不同类型用途设置不同的帐户账号，提高系统安全。 问题影响 账号混淆，权限不明确，存在用户越权使用的可能。 系统当前状态 cat /etc/passwd 记录当前用户列表 实施步骤 1、参考配置操作 为用户创建账号： #useradd username #创建账号 #passwd username #设置密码 修改权限： #chmod 750 directory #其中755为设置的权限，可根据 实际情况设置相应的权限，directory是要更改权限的目录) 使用该命令为不同的用户分配不同的账号，设置不同的口令 及权限信息等。 回退方案 恢复httpd.conf文件，重启APACHE 判断依据 判断是否漏洞。 实施风险 中 重要等级 ★★★  Linux-01-01-02 编号 Linux-01-01-02 名称 去除不需要的帐号、修改默认帐号的shell变量 实施目的 删除系统不需要的默认帐号、更改危险帐号缺省的shell变量 问题影响 允许非法利用系统默认账号 系统当前状态 cat /etc/passwd 记录当前用户列表， cat /etc/shadow 记 录当前密码配置 实施步骤 1、参考配置操作 # userdel lp # groupdel lp 如果下面这些系统默认帐号不需要的话，建议删除。 lp, sync, shutdown, halt, news, uucp, operator, games, gopher 修改一些系统帐号的shell变量，例如uucp,ftp和news等， 还有一些仅仅需要FTP 功能的帐号，一定不要给他们设置 /bin/bash或者/bin/sh 等Shell变量。可以在/etc/passwd中将它 们的shell 变量设为/bin/false 或者/dev/null 等，也可以使用 usermod -s /dev/null username命令来更改username的shell 为/dev/null。 回退方案 恢复账号或者SHELL 判断依据 如上述用户不需要，则锁定。 实施风险 中 重要等级 ★★ 备注 Linux-01-01-03 编号 Linux-01-01-03 名称 限制超级管理员远程登录 实施目的 限制具备超级管理员权限的用户远程登录。远程执行管理员 权限操作，应先以普通权限用户远程登录后，再切换到超级 管理员权限账。 问题影响 允许root远程非法登陆 系统当前状态 cat /etc/ssh/sshd_config cat /etc/securetty 实施步骤 1、 参考配置操作 SSH: #vi /etc/ssh/sshd_config 把 PermitRootLogin yes 改为 PermitRootLogin no 重启sshd服务 #service sshd restart CONSOLE: 在/etc/securetty文件中配置：CONSOLE = /dev/tty01 回退方案 还原配置文件 /etc/ssh/sshd_config 判断依据 /etc/ssh/sshd_config 中 PermitRootLogin no 实施风险 高 重要等级 ★★ 备注 Linux-01-01-04 编号 Linux-01-01-04 名称 对系统账号进行登录限制 实施目的 对系统账号进行登录限制，确保系统账号仅被守护进程和服 务使用。 问题影响 可能利用系统进程默认账号登陆，账号越权使用 系统当前状态 cat /etc/passwd查看各账号状态。 实施步骤 1、 参考配置操作 Vi /etc/passwd 例如修改 lynn:x:500:500::/home/lynn:/sbin/bash 更改为： lynn:x:500:500::/home/lynn:/sbin/nologin 该用户就无法登录了。 禁止所有用户登录。 touch /etc/nologin 除root以外的用户不能登录了。 2、补充操作说明 禁止交互登录的系统账号，比如daemon,bin,sys、adm、lp、 uucp、nuucp、smmsp等等 回退方案 还原/etc/passwd文件配置 判断依据 /etc/passwd中的禁止登陆账号的shell是 /sbin/nologin