没有合适的资源?快使用搜索试试~ 我知道了~
05-等保三级-CentOS Linux 6合规基线检查
需积分: 1 1 下载量 200 浏览量
2023-03-25
16:35:36
上传
评论
收藏 29KB DOCX 举报
温馨提示
试读
11页
05-等保三级-CentOS Linux 6合规基线检查
资源推荐
资源详情
资源评论
等保三级-CentOS Linux 6 合规基线检查
一、应对登录的用户进行身份标识和鉴别,身份标识具有唯一性,身份鉴别信息具有复杂度
要求并定期更换:
1、执行 cat /etc/shadow | awk -F: '($2 == ) { print $1}' , 查看空密码账户并处理
awk -F: 'length($2)==0 {print $1}' /etc/shadow
输出为空表示满足要求
2、查看/etc/passwd,检查是否有重复 UID 的用户并清理
用户名是否重复:
awk -F: '{print $1}' /etc/passwd | sort
用户 UID 是否重复:
awk -F: '{print $3}' /etc/passwd | sort
用户组名是否重复:
awk -F: '{print $1}' /etc/group | sort
3、定期更换密码,在 /etc/login.defs 中将 PASS_MAX_DAYS 参数设置为 30-90 之间,如
PASS_MAX_DAYS 180
需同时执行命令设置 root 密码失效时间:
chage --maxdays 180 root
检查语句:
grep ^PASS_MAX_DAYS /etc/login.defs
chage -l root | egrep -i "maximum"
4、设置密码最短修改时间,在 /etc/login.defs 中将 PASS_MIN_DAYS 参数设置为 7-14 之间,
如
PASS_MIN_DAYS 7
需时执行命令为 root 用户设置:
chage --mindays 7 root
检查语句:
grep ^PASS_MIN_DAYS /etc/login.defs
chage -l root | egrep -i "minimum"
5、编辑/etc/pam.d/password-auth 和 /etc/pam.d/system-auth 配置文件中包含 password
requisite pam_cracklib.so 这一行。增加配置 minlen(密码最小长度)设置为 9-32 位,minclass
设置为 3 或 4。如
password requisite pam_cracklib.so try_first_pass retry=3 minlen=10 minclass=4
检查语句:
find / -name pam_cracklib.so -print
grep ^password /etc/pam.d/password-auth | grep -i requisite
grep ^password /etc/pam.d/system-auth | grep -i requisite
6、在/etc/pam.d/password-auth 和/etc/pam.d/system-auth 中 password sufficient pam_unix.so
这行的末尾配置 remember 参数为 5-24 之间,建议设为 5,即行末尾加
remember=5
检查语句:
grep -i ^password /etc/pam.d/password-auth | grep -i sufficient | grep -i pam_unix.so
grep -i ^password /etc/pam.d/system-auth | grep -i sufficient | grep -i pam_unix.so
7、除 root 以外其他 UID 为 0 的用户,都应该删除或者修改其 UID
awk -F: '$3==0 {print $1}' /etc/passwd
输出为 root 表示满足要求
二、应具有登录失败处理功能,应配置并启用结束会话、限制非法登录次数和当登录连接超
时自动退出等相关措施:
1、配置登陆失败锁定,编辑/etc/pam.d/password-auth 和/etc/pam.d/system-auth 文件,在
非注释行的第一行添加以下行(deny 为连续失败次数,配置为 3-8 次,unlock_time 为解锁
时间,配置为 600-1800 秒)
auth required pam_tally2.so onerr=fail audit silent deny=5 unlock_time=900
检查语句:
grep -i auth /etc/pam.d/password-auth | grep -i required | grep -i pam_tally2.so
grep -i auth /etc/pam.d/system-auth | grep -i required | grep -i pam_tally2.so
2、设置系统登陆不活动连接超时退出,编辑/etc/profile,将 TMOUT 设置为 600 到 1800,
即 10-30 分钟
TMOUT=900
export TMOUT
检查语句:
grep TMOUT /etc/profile
3、在/etc/ssh/sshd_config 中取消 MaxAuthTries 注释符号#,设置最大密码尝试失败次数 3-6,
建议为 5:
MaxAuthTries 5
检查语句:
grep ^MaxAuthTries /etc/ssh/sshd_config
三、当对服务器进行远程管理时,应采取必要措施,防止鉴别信息在网络传输过程中被窃听:
1、编辑 /etc/ssh/sshd_config 文件设置参数(Centos7 无需配置):
Protocol 2
检查语句:
grep ^Protocol /etc/ssh/sshd_config
2、执行命令 service sshd restart 重启 sshd 服务
3、执行以下命令停止 Telnet 服务:
systemctl stop telnet.socket
systemctl disable telnet.socket
四、应重命名或删除默认账户,修改默认账户的默认口令:
1、禁止 root 账户登陆(注意 : 禁止前确 保 有其他账 户 可以正 常 使 用):编 辑 配置文件
/etc/ssh/sshd_config,将 PermitRootLogin yes 改为
PermitRootLogin no
检查语句:
grep ^PermitRootLogin /etc/ssh/sshd_config
2、执行 service sshd restart 重启 ssh
3、root 之外的系统默认帐户、数据库帐户禁止登陆(non-login)
4、确保所有系统用户的密码都设置为复杂密码
五、访问控制的粒度应达到主体为用户级或进程级,客体为文件、数据库表级:
#1、执行以下 4 条命令:
chown root:root /etc/hosts.allow
chown root:root /etc/hosts.deny
chmod 644 /etc/hosts.deny
chmod 644 /etc/hosts.allow
#2、执行以下 5 条命令
chown root:root /etc/passwd /etc/shadow /etc/group /etc/gshadow
chmod 0644 /etc/group
chmod 0644 /etc/passwd
chmod 0400 /etc/shadow
chmod 0400 /etc/gshadow
#3、设置 /etc/ssh/sshd_config 的权限:
chown root:root /etc/ssh/sshd_config
chmod 600 /etc/ssh/sshd_config
#4、配置/etc/profile 文件权限:
chown root:root /etc/profile
chmod 644 /etc/profile
检查语句:
ls -l /etc/hosts.allow /etc/hosts.deny
ls -l /etc/passwd /etc/shadow /etc/group /etc/gshadow
ls -l /etc/ssh/sshd_config
ls -l /etc/profile
六、应启用安全审计功能,审计覆盖到每个用户,对重要的用户行为和重要安全事件进行审
计:
1、执行命令启用 auditd 服务:service auditd start;
2、执行命令 service rsyslog start 启用 rsyslog 服务;
3、将以下行添加到/etc/audit/rules.d/audit.rules 和/etc/audit/audit.rules
文件中:
-a always,exit -F arch=b64 -S unlink -S unlinkat -S rename -S renameat -F auid>=1000 -F
剩余10页未读,继续阅读
资源评论
weixin_40191861_zj
- 粉丝: 65
- 资源: 1万+
上传资源 快速赚钱
- 我的内容管理 展开
- 我的资源 快来上传第一个资源
- 我的收益 登录查看自己的收益
- 我的积分 登录查看自己的积分
- 我的C币 登录后查看C币余额
- 我的收藏
- 我的下载
- 下载帮助
安全验证
文档复制为VIP权益,开通VIP直接复制
信息提交成功