CentOS6.5_系统安全加固实施方案解剖.docVIP

目录 一、用户帐号和环境 3 二、系统访问认证和授权 5 三、核心调整 6 四、需要关闭的一些服务 7 五、SSH安全配置 7 六、封堵openssl的Heartbleed漏洞 8 七、开启防火墙策略 9 八、启用系统审计服务 10 九、部署完整性检查工具软件 11 十、部署系统监控环境 13 以下安全设置均是在CentOS6.5_x86环境basic server下进行的验证。 一、用户帐号和环境 检查项 注释: 1 查看用户：awk -F : {print $1} /etc/passwd 查看用户组：cat /etc/group 删除用户：userdel lp 删除用户组：groupdel lp 用/etc/passwd用/etc/group 查看系统中有哪些用户：cut -d : -f 1 /etc/passwd查看可以登录系统的用户：cat /etc/passwd | grep -v /sbin/nologin | cut -d : -f 1 清除了uucp、operator、lp、shutdown、halt、games、gopher 帐号 删除的用户组有： lp、uucp、games、dip 其它系统伪帐号均处于锁定SHELL登录的状态 2 验证是否有账号存在空口令的情况: awk -F: ($2 == ) { print $1 } /etc/shadow 3 检查除了root以外是否还有其它账号的UID为0: awk -F: ($3 == 0) { print $1 } /etc/passwd 任何UID为0的账号在系统上都具有超级用户权限. 4 检查root用户的$PATH中是否有’.’或者所有用户/组用户可写的目录 超级用户的$PATH设置中如果存在这些目录可能会导致超级用户误执行一个特洛伊木马 5 用户的home目录许可权限设置为700 用户home目录的许可权限限制不严可能会导致恶意用户读/修改/删除其它用户的数据或取得其它用户的系统权限 6 是否有用户的点文件是所有用户可读写的: for dir in \ `awk -F: ($3 = 500) { print $6 } /etc/passwd` do for file in $dir/.[A-Za-z0-9]* do if [ -f $file ]; then chmod o-w $file fi done done Unix/Linux下通常以”.”开头的文件是用户的配置文件,如果存在所有用户可读/写的配置文件可能会使恶意用户能读/写其它用户的数据或取得其它用户的系统权限 7 为用户设置合适的缺省umask值: cd /etc for file in profile csh.login csh.cshrc bashrc do if [ `grep -c umask $file` -eq 0 ]; then echo umask 022 $file fi chown root:root $file chmod 444 $file done 为用户设置缺省的umask值有助于防止用户建立所有用户可写的文件而危及用户的数据. 8 设备系统口令策略：修改/etc/login.defs文件 将PASS_MIN_LEN最小密码长度设置为12位。 9 设置系统口令复杂度：修改/etc/pam.d/system-auth文件下面这一行 password requisite pam_cracklib.so try_first_pass retry=3 minlen=12 dcredit=1 ucredit=1 lcredit=1 ocredit=1 这里限制的是普通用户修改自己口令时的复杂度。这个设置对root是无效的。 10 限制能够su为root 的用户：#vi /etc/pam.d/su 在文件头部添加下面这样的一行 auth required pam_wheel.so use_uid 这样，只有wheel组的用户可以su到root 操作样例： #usermod -G10 test 将test用户加入到wheel组 11 修改别名文件/etc/aliases：#vi /etc/aliases 注释掉不要的 #games: root #ingres: root #system: root #toor: root #uucp: root #manager: root #dumper: root #operator: root #decode: root #root: marc 修改后执行/usr/bin/newaliases 1