RedHat linux系统加固

wdx1992828

• 　　检查是否配置ntp服务：
  　　备份cp /etc/ntp.conf  /etc/ntp.conf.bal1105
  　　编辑vi /etc/ntp.conf
  　　插入restrict 192.168.1.0 mask 255.255.255.0 nomodify notrap
  　　启动ntpd服务：
  service ntpd start
  
• 　　检查口令策略设置是否符合复杂度要求
  　　cp -p /etc/pam.d/system-auth /etc/pam.d/system-auth_bak
  　　vi /etc/pam.d/system-auth
  可使用pam pam_cracklib module或pam_passwdqc module实现密码复杂度，两者不能同时使用
  　　password    requisite     pam_cracklib.so dcredit=-1 ucredit=-1 lcredit=-1 ocredit=-1 minclass=2 minlen=8
  password    sufficient    pam_unix.so md5 shadow nullok try_first_pass use_authtok
  
• 　　检查登录提示-是否设置登录成功后警告Banner
  　　修改文件/etc/motd的内容，如没有该文件，则创建它。
  　　#echo " Authorized users only. All activity may be monitored and reported " > /etc/motd
  
• 　　检查口令锁定策略
  　　执行备份：
  #cp -p /etc/pam.d/system-auth /etc/pam.d/system-auth_bak
  　　修改策略设置：
  #vi /etc/pam.d/system-auth
  增加auth required pam_tally2.so deny=6 onerr=fail no_magic_root unlock_time=120
  到第二行。
  　　使配置生效需重启服务器。
  
• 　　检查主机访问控制（IP限制）
  　　执行备份：
  #cp -p /etc/hosts.allow /etc/hosts.allow_bak
  #cp -p /etc/hosts.deny /etc/hosts.deny_bak
  　　vim /etc/hosts.allow           #插入all:*.*.*.*:allow
  　　vim /etc/hosts.deny       #插入sshd:555.555.555.555:DENY
  
• 　　检查口令生存周期要求
  　　cp -p /etc/login.defs /etc/login.defs_bak
  　　修改策略设置：
  #vi /etc/login.defs
  修改PASS_MIN_LEN的值为5，修改PASS_MAX_DAYS的值为90，按要求修改PASS_MIN_DAYS/PASS_WARN_AGE的值，保存退出
  配置完成结果如下：#
  PASS_MAX_DAYS   90
  PASS_MIN_DAYS   0
  PASS_MIN_LEN    5
  PASS_WARN_AGE   7
  
• 　　检查是否禁止匿名ftp
  　　修改/etc/vsftpd/vsftpd.conf
  　　在配置文件中添加行：
  anonymous_enable=NO
  　　重启vsftpd服务   service vsftpd restart
  
• 　　检查FTP配置-限制FTP用户登录后能访问的目录
  　　修改/etc/vsftpd/vsftpd.conf
  　　确保以下行未被注释掉，如果没有该行，请添加：
  chroot_local_user=YES
  　　重启vsftpd服务   service vsftpd restart                   重启网络服务
  #  /etc/init.d/xinetd restart
  
• 　　检查是否配置远程日志保存
  　　备份cp -p /etc/rsyslog.conf /etc/rsyslog.conf_bak 编辑vim /etc/rsyslog.conf
  　　插入*.*（Tab）   @192.168.0.1
  　　重启/etc/init.d/rsyslog stop                   /etc/init.d/rsyslog start
  
• 　　检查是否设置登录超时
  　　执行备份：
  　　cp -p /etc/profile /etc/profile_bak
  　　cp -p /etc/csh.cshrc /etc/csh.cshrc_bak
  　　修改/etc/csh.cshrc文件，添加如下行：
  　　set autologout=30
  　　改变这项设置后，重新登录才能有效
  
• 　　检查登录提示-更改ftp警告Banner
  　　vi /etc/vsftpd/vsftpd.conf
  　　ftpd_banner=” Authorized users only. All activity may be monitored and reported.”
  　　service vsftpd restart
  　　重启服务： /etc/init.d/xinetd restart
  
• 　　检查口令重复次数限制
  　　执行备份：
  　　#cp -p /etc/pam.d/system-auth /etc/pam.d/system-auth_bak
  　　创建文件/etc/security/opasswd，并设置权限：
  
  　　#touch /etc/security/opasswd
  　　#chown root:root /etc/security/opasswd
  　　#chmod 600 /etc/security/opasswd
  　　修改策略设置：
  　　#vi /etc/pam.d/system-auth
  　　在password required pam_unix.so所在行增加remember=5，保存退出；
  
• 　　检查帐号文件权限设置
  　　cp -p /etc/passwd /etc/passwd_bak
  　　cp -p /etc/shadow /etc/shadow_bak
  　　cp -p /etc/group /etc/group_bak
  　　chmod 0644 /etc/passwd
  　　chmod 0400 /etc/shadow
  　　chmod 0644 /etc/group
  
• 　　检查FTP配置-设置FTP用户登录后对文件、目录的存取权限
  　　修改/etc/vsftpd/vsftpd.conf
  　　
  
  
• 　　确保以下行未被注释掉，如果没有该行，请添加：write_enable=YES       ls_recurse_enable=YES
  　　local_umask=022 //设置用户上传文件的属性为755
  　　anon_umask=022 //匿名用户上传文件(包括目录)的 umask
  　　只需增加ls_recurse_enable=YES
  　　anon_umask=022）
  　　重启vsftpd服务   service vsftpd restart
  　　重启网络服务
  
  　　/etc/init.d/xinetd restart
  
• 　　检查FTP配置-限制用户FTP登录
  　　备份#cp /etc/vsftpd/ftpusers /etc/vsftpd/ftpusers.bak                       #cp /etc/vsftpd/vsftpd.conf /etc/vsftpd/vsftpd.conf.bak
  　　#vi /etc/vsftpd/ftpusers
  　　增加：                                                       sys
  　　adm
  　　nuucp
  　　noaccess
  　　nobody4
  　　vi /etc/vsftpd/vsftpd.conf  修改其中内容：
  　　userlist_enable=YES  userlist_deny=NO
  　　重启vsftpd服务   service vsftpd restart
  
• 　　检查是否关闭不必要服务
  　　#chkconfig --list
  

　　禁止非必要服务：#chkconfig [service] off
　　开启服务为：#chkconfig [service] on
　　18.检查项名称：检查是否限制root远程登录
　　#cp -p /etc/securetty /etc/securetty_bak
　　#cp -p /etc/ssh/sshd_config /etc/ssh/sshd_config_bak
　　禁止root用户远程登录系统：
　　#vi /etc/securetty
　　注释形如pts/x的行，保存退出，则禁止了root从telnet登录。
　　#vi /etc/ssh/sshd_config
　　修改PermitRootLogin设置为no并不被注释，保存退出，则禁止了root从ssh登录。
　　#/etc/init.d/sshd restar
　　19.检查是否使用ssh替代telnet服务
　　备份 cp -p /etc/xinetd.d/telnet /etc/xinetd.d/telnet_bak
　　编辑 #vi /etc/xinetd.d/telnet
　　把disable项改为yes，即disable = yes
　　然后运行service xinetd restart，telnet就可以关闭掉了。
　　chkconfig telnet off  重点说明/etc/vsftpd/vsftpd.conf未添加anon_umask=022不合格
　　20.检查是否配置ntp
　　编辑ntp 的配置文件：
　　#vi /etc/ntp.conf
　　server IP地址（提供ntp服务的机器）
　　去掉下列行的注释
　　restrict 192.168.1.0 mask 255.255.255.0 nomodify notrap
　　启动ntp服务：
　　#service ntpd start 重启电脑系统后，需要重启服务