linux安全基线加固

作者: Tess鱼丸 | 来源:发表于2022-11-24 15:33 被阅读0次

linux安全基线加固
linux基线加固
CentOS系统安全加固常见方法
Linux安全检查基线
linux安全加固
Linux安全加固
Linux 安全加固
Linux安全加固
Linux操作系统加固
基于shell语言的linux安全基线检查

安全基线加固

一、帐号与口令-用户口令设置, 配置用户口令强度检查达到12位，要求用户口令包括数字、小写字母、大写字母和特殊符号4类中至少2类。

[root@www ~]# vim /etc/pam.d/system-auth

二、帐号与口令-检查是否存在除root之外UID为0的用户

操作步骤：
执行：awk -F: '( $3 == 0) { print$ 1 }' /etc/passwd
返回值包括“root”以外的条目，则低于安全要求。

三、帐号与口令-检查是否存在如下不必要账户：lp, sync, shutdown, halt, news,

uucp, operator, games, gopher等,
操作步骤：
执行：cat /etc/passwd
如果不使用，用以下命令进行删除。

四：给不同的用户分配不同的帐号，避免多个用户共享帐号。

至少分配root，auditor，operator角色。

五：设置帐号在3次连续尝试认证失败后锁定，锁定时间为1分钟，避免用户口

令被暴力破解。

步骤：建立/var/log/faillog文件并设置权限骤
touch /var/log/faillog
chmod 600 /var/log/faillog

编辑/etc/pam.d/system-auth文件，在
auth required pam_env.so后面添加
auth required pam_tally.so onerr=fail deny=3 unlock_time=60

六：帐号与口令-检查除ROOT外是否有其他账户拥有shell权限

执行：cat /etc/passwd观察是否有非root账户设置/bin/bash或/bin/sh权限
无特殊应用情况下，如发现上述账户，则低于安全要求

七：帐号与口令-远程连接的安全性配置

步骤：执行：find / -name .netrc，检查系统中是否有.netrc文件；
执行：find / -name .rhosts ，检查系统中是否有.rhosts文件

返回值包含以上条件，则低于安全要求。
如无必要，删除这两个文件

八：限制ssh连接的IP配置

配置tcp_wrappers，限制允许远程登陆系统的IP范围。

参考配置操作
编辑/etc/hosts.deny
添加sshd:ALL

编辑/etc/hosts.allow
添加
sshd:168.8.44.0/255.255.255.0#允许168.8.44.0网段远程登陆
sshd:168.8.43.0/255.255.255.0#允许168.8.43.0网段远程登陆

1、判定条件
只有网管网段可以ssh登陆系统。
2、检测操作
cat /etc/hosts.deny
cat /etc/hosts.allow

九：用户的umask安全配置

执行：more /etc/profile more /etc/csh.login more /etc/csh.cshrc more
/etc/bashrc检查是否包含umask值

补充操作说明：vi /etc/profile
建议设置用户的默认umask=077

十：文件系统-查找未授权的SUID/SGID文件

用下面的命令查找系统中所有的SUID和SGID程序，执行：

此题可以用shell脚本执行

[root@www Desktop]# vim 111.sh
####编辑一下内容
#!/bin/bash
for PART in `grep -v ^# /etc/fstab | awk '($6 != "0") {print $2 }'`; do 
find $PART \( -perm -04000 -o -perm -02000 \) -type f -xdev -print 
done
[root@www Desktop]#  chmod +x 111.sh
[root@www Desktop]#  ./111/sh

#!/bin/bash
for PART in `grep -v ^# /etc/fstab | awk '($6 != "0") {print $2 }'`; do 
find $PART \( -perm -04000 -o -perm -02000 \) -type f -xdev -print 
done

for PART in `grep -v ^# /etc/fstab | awk '($6 != "0") {print $2 }'`; do 
find $PART \( -perm -04000 -o -perm -02000 \) -type f -xdev -print 
done

若存在未授权的文件，则低于安全要求。

十一：检查任何人都有写权限的目录

在系统中定位任何人都有写权限的目录用下面的命令：

for PART in `awk '($3 == "ext2" || $3 == "ext3") \
{ print $2 }' /etc/fstab`; do 
find $PART -xdev -type d \( -perm -0002 -a ! -perm -1000 \) -print 
done

十二、查找任何人都有写权限的文件

在系统中定位任何人都有写权限的文件用下面的命令：

for PART in `grep -v ^# /etc/fstab | awk '($6 != "0") {print $2 }'`; do 
find $PART -xdev -type f \( -perm -0002 -a ! -perm -1000 \) -print 
done

若返回值非空，则低于安全要求。

十三、检查没有属主的文件

定位系统中没有属主的文件用下面的命令：

for PART in `grep -v ^# /etc/fstab | awk '($6 != "0") {print $2 }'`; do 
find $PART -nouser -o -nogroup -print 
done

注意：不用管“/dev”目录下的那些文件

补充操作说明
发现没有属主的文件往往就意味着有黑客入侵你的系统了。不能允许没有属
主的文件存在。如果在系统中发现了没有属主的文件或目录，先查看它的完
整性，如果一切正常，给它一个属主。有时候卸载程序可能会出现一些没有
属主的文件或目录，在这种情况下可以把这些文件和目录删除掉

十四、检查异常隐含文件
用“find”程序可以查找到这些隐含文件。例如：
[root@www ~]# find / -xdev -name ".." -print
/usr/share/man/man1/..1.gz
[root@www ~]# find / -xdev -name ".." -print |cat -v
/usr/share/man/man1/..1.gz
同时也要注意象“.xx”和“.mail”这样的文件名的。（这些文件名看起来都很象正常的文件名）

若返回值非空，则低于安全要求。

补充操作说明
在系统的每个地方都要查看一下有没有异常隐含文件（点号是起始字符的，
用“ls”命令看不到的文件），因为这些文件可能是隐藏的黑客工具或者其它
一些信息（口令破解程序、其它系统的口令文件，等等）。在UNIX/LINUX
下，一个常用的技术就是用一些特殊的名，如：“…”、“.. ”（点点空格）
或“..^G”（点点control-G），来隐含文件或目录。

十五、日志审计-syslog登录事件记录

执行命令：more /etc/rsyslog.conf
查看参数authpriv值
authpriv.* /var/log/secure

若未对所有登录事件都记录，则低于安全要求。

十六、Linux日志增强要求项

执行命令：
chattr +a /var/log/messages
chattr +i /var/log/messages.*
chattr +i /etc/shadow
chattr +i /etc/passwd
chattr +I /etc/group

十七、操作系统超时注销

参考配置操作
编辑/etc/profile文件，添加
TMOUT=300
用户登陆后如果300秒内没有做任何操作，则自动注销登陆。

十八、禁用不必要服务

根据实际情况，关闭不必要的系统服务，如：finger,kudzu,isdn,nfs,apm,
sound,pcmcia,vsftpd, rhnsd,Bluetooth,sendmail,lpd,netfs,telnet,RPC,imap
等服务。

在无特殊应用情况下，若有上述提到的服务开启，则不符合要求。

这是错的

以下是对的

[root@www ~]# systemctl start vsftpd
[root@www ~]#
[root@www ~]# ps ax |grep vsftpd
 22769 pts/1    S+     0:00 grep --color=auto vsftpd
[root@www ~]# 
[root@www ~]# systemctl stop vsftpd
[root@www ~]#

[root@www ~]# systemctl list-units|grep running
proc-sys-fs-binfmt_misc.automount                                                   loaded active running   Arbitrary Executable File Formats File System Automount Point
session-1.scope                                                                     loaded active running   Session 1 of user root
session-14.scope                                                                    loaded active running   Session 14 of user root
abrt-oops.service                                                                   loaded active running   ABRT kernel log watcher
abrt-xorg.service                                                                   loaded active running   ABRT Xorg log watcher
abrtd.service                                                                       loaded active running   ABRT Automated Bug Reporting Tool
accounts-daemon.service                                                             loaded active running   Accounts Service
alsa-state.service                                                                  loaded active running   Manage Sound Card State (restore and store)
atd.service                                                                         loaded active running   Job spooling tools
auditd.service                                                                      loaded active running   Security Auditing Service
avahi-daemon.service                                                                loaded active running   Avahi mDNS/DNS-SD Stack
bolt.service                                                                        loaded active running   Thunderbolt system service
chronyd.service                                                                     loaded active running   NTP client/server
colord.service                                                                      loaded active running   Manage, Install and Generate Color Profiles
crond.service                                                                       loaded active running   Command Scheduler
cups.service                                                                        loaded active running   CUPS Printing Service
dbus.service                                                                        loaded active running   D-Bus System Message Bus
fwupd.service                                                                       loaded active running   Firmware update daemon
gdm.service                                                                         loaded active running   GNOME Display Manager
gssproxy.service                                                                    loaded active running   GSSAPI Proxy Daemon
httpd.service                                                                       loaded active running   The Apache HTTP Server
irqbalance.service                                                                  loaded active running   irqbalance daemon
ksmtuned.service                                                                    loaded active running   Kernel Samepage Merging (KSM) Tuning Daemon
libstoragemgmt.service                                                              loaded active running   libstoragemgmt plug-in server daemon
libvirtd.service                                                                    loaded active running   Virtualization daemon
lvm2-lvmetad.service                                                                loaded active running   LVM2 metadata daemon
ModemManager.service                                                                loaded active running   Modem Manager
NetworkManager.service                                                              loaded active running   Network Manager
packagekit.service                                                                  loaded active running   PackageKit Daemon
polkit.service                                                                      loaded active running   Authorization Manager
postfix.service                                                                     loaded active running   Postfix Mail Transport Agent
rngd.service                                                                        loaded active running   Hardware RNG Entropy Gatherer Daemon
rpcbind.service                                                                     loaded active running   RPC bind service
rsyslog.service                                                                     loaded active running   System Logging Service
rtkit-daemon.service                                                                loaded active running   RealtimeKit Scheduling Policy Service
smartd.service                                                                      loaded active running   Self Monitoring and Reporting Technology (SMART) Daemon
sshd.service                                                                        loaded active running   OpenSSH server daemon
systemd-journald.service                                                            loaded active running   Journal Service
systemd-logind.service                                                              loaded active running   Login Service
systemd-udevd.service                                                               loaded active running   udev Kernel Device Manager
tuned.service                                                                       loaded active running   Dynamic System Tuning Daemon
udisks2.service                                                                     loaded active running   Disk Manager
upower.service                                                                      loaded active running   Daemon for power management
vgauthd.service                                                                     loaded active running   VGAuth Service for open-vm-tools
vmtoolsd.service                                                                    loaded active running   Service for virtual machines hosted on VMware
wpa_supplicant.service                                                              loaded active running   WPA Supplicant daemon
avahi-daemon.socket                                                                 loaded active running   Avahi mDNS/DNS-SD Stack Activation Socket
cups.socket                                                                         loaded active running   CUPS Printing Service Sockets
dbus.socket                                                                         loaded active running   D-Bus System Message Bus Socket
lvm2-lvmetad.socket                                                                 loaded active running   LVM2 metadata daemon socket
rpcbind.socket                                                                      loaded active running   RPCbind Server Activation Socket
systemd-journald.socket                                                             loaded active running   Journal Socket
systemd-udevd-control.socket                                                        loaded active running   udev Control Socket
systemd-udevd-kernel.socket                                                         loaded active running   udev Kernel Socket
[root@www ~]#

linux安全基线加固
安全基线加固一、帐号与口令-用户口令设置, 配置用户口令强度检查达到12位，要求用户口令包括数字、小写字母、大写...
linux基线加固
linux一开始是有很多安装一隐患的所以要进行基线加固。本人自己写的基线加固脚本 #!/bin/bash cp...
CentOS系统安全加固常见方法
关于Linux系统安全加固的具体实现脚本及基线检查规范，以供主机维护人员参考学习。其中以下脚本主要实现的功能包括...
Linux安全检查基线
1.检查用户登录情况 lastlog命令，检查最后登录时间 w命令 lastb命令，检查登录失败日志 2.检查命令...
linux安全加固
对用户密码强度的设定打开 /etc/pam.d/sysetm-auth 文件，修改如下。我们设置新密码不能和旧...
Linux安全加固
锁定账号
Linux 安全加固
锁定不必要的账号： passwd -l aapasswd -u xxx 密码策略 /etc/login.defsP...
Linux安全加固
上次整理了基于等保三级的win server 2012的加固方案（Windows安全加固），这次是基于等保三级的...
Linux操作系统加固
Linux操作系统加固本文旨在指导系统管理人员或安全检查人员进行Linux操作系统的安全合规性检查和加固。 1....
基于shell语言的linux安全基线检查
由于公司有Linux安全基线检查的要求，看了下网上的安全基线，几十条，公司那么多主机，一条条去检查太耗费时间了，身...