Redhat_安全加固解剖.docVIP

RHEL 操作系统安全加固手册  目 录 第1章 账号安全 1-1 1.1 密码规则 1-1 1.1.1 密码长度、有效期（必做） 1-1 1.1.2 空密码检查（必做） 1-2 1.1.3 密码复杂度（必做） 1-2 1.2 登录验证规则 1-3 1.2.1 记录用户登录失败次数并锁定（必做） 1-3 1.2.2 查看用户登录失败次数（查看） 1-3 1.2.3 解锁已锁定用户 1-4 1.3 访问控制 1-4 1.3.1 禁止root用户直接远程ssh登录（必做） 1-4 1.3.2 禁止root用户直接远程telnet登录（必做） 1-4 1.3.3 禁止无用的系统用户登录（必做） 1-5 1.3.4 删除系统特殊的的用户帐号（必做） 1-6 1.3.5 删除特殊的组（必做） 1-6 1.3.6 登录超时控制（必做） 1-6 1.3.7 检查是否存在除 root 之外 UID 为 0 的用户（必做） 1-7 1.3.8 允许或禁止指定用户或组直接ssh远程登录（可选） 1-7 1.3.9 允许或禁止指定用户或组直接telnet远程登录 1-7 1.3.10 允许或禁止指定IP地址ssh远程登录（可选） 1-8 1.3.11 允许或禁止指定IP地址telnet远程登录（可选） 1-8 1.3.12 指定wheel组的用户可以su作为root（可选，先不做，测试有问题） 1-8 1.4 用户和文件权限 1-9 1.4.1 查找未授权的 SUID/SGID 文件（必做） 1-9 1.4.2 设定用户创建目录和文件的默认权限（必做） 1-10 1.4.3 root 用户环境变量的安全性（必做） 1-10 1.4.4 检查root用户环境变量path规范（必做） 1-11 1.4.5 远程连接的安全性配置（必做） 1-11 1.4.6 重要目录和文件的权限设置（必做） 1-11 1.4.7 检查任何人都有写权限的目录（必做） 1-13 1.4.8 查找任何人都有写权限的文件（必做） 1-13 1.4.9 检查没有属主的文件（必做） 1-13 1.4.10 检查异常隐含文件（必做） 1-14 1.4.11 加锁重要口令文件和组文件（可选） 1-14 1.5 系统日志审计 1-15 1.5.1 syslog 登录事件记录（必做） 1-15 1.5.2 syslog.conf 的配置审核（必做） 1-15 1.5.3 审计功能的进程（必做） 1-15 1.5.4 记录审计的日志（查看） 1-16 1.5.5 登录日志（查看） 1-16 1.6 系统资源限制 1-1 1.6.1 系统 core dump 状态（必做） 1-1 第2章 其它 2-1 2.1 服务 2-1 2.1.1 查看现有服务（查看） 2-1 2.1.2 停止不必要的服务（必做） 2-7 2.1.3 关闭ipv6（可选） 2-8 2.1.4 修改ssh默认端口22（可选） 2-10 2.1.5 vsftp服务禁止匿名登录（必做） 2-10 2.1.6 停止gssftp（必做） 2-10 2.1.7 设置NFS共享目录的访问权限（可选） 2-11 2.1.8 系统安装补丁（必做） 2-11 2.1.9 升级openssh（必选） 2-11 2.1.10 禁止Ctrl+Alt+Delete重新启动机器（必选） 2-13 2.1.11 系统在登陆时暴露有关操作系统版本信息（必选） 2-13 2.1.12 禁止接收、转发源路由数据包 2-14 2.1.13 修改snmpd.conf中的默认团体名 2-14 2.1.14 禁止icmp重定向（手动配置） 2-14 2.1.15 vsftp安全传输（必做） 2-15 2.1.16 vsftp限制用户目录（必做） 2-15 2.1.17 FTP登录显示Banner（必做） 2-15 2.1.18 ssh登录显示Banner（必做） 2-16 2.1.19 检查是否设置屏幕锁定 2-16 图目录 未找到图形项目表。 表目录 未找到图形项目表。 账号安全 密码规则 密码长度、有效期（必做） /etc/login.defs文件是当创建用户时的一些规划，比如创建用户时，是否需要家目录，UID和GID的范围；用户的期限等等，这个文件是可以通过root来定义的 PASS_MAX_DAYS 90 PASS_MIN_DAYS 6 ----两次改变密码之间相距的最小天数，为零时代表任何时候都可以更改密码 PASS_MIN_LEN 6 ----密码最小长度 PASS_WARN_AGE 30 ----在密码过期之前警告的天数 注意：以上只对之