Redhat Linux安全加固

■文档编号 ■版本编号

■密级 ■日期

- 1-

目录

一. 二. 三. 四. 五.

系统信息 ........................................................................................................................................... 3 账号 ................................................................................................................................................... 3 服务 ................................................................................................................................................... 6 文件系统 ........................................................................................................................................... 8 日志 ................................................................................................................................................... 9

- 2-

一. 系统信息

查看内核信息 查看所有软件包 查看主机名 查看网络配置 查看路由表 查看开放端口 查看当前进程

uname-a rpm-qa hostname ifconfig-a netstat-rn netstat-an ps-aux 二. 账号

2.1禁用无用账号

操作目的 检查方法 减少系统无用账号，降低风险 使用命令“cat/etc/passwd”查看口令文件，与系统管理员确认不必要 的账号 FTP 等服务的账号，如果不需要登录系统，shell应该/sbin/nologin 加固方法 使用命令“passwd -l<用户名>”锁定不必要的账号 使用命令“passwd -u<用户名>”解锁不必要的账号 是否实施 备注

需要与管理员确认此项操作不会影响到业务系统的登录 2.2检查特殊账号

操作目的 检查方法 查看空口令和root权限的账号 使用命令“awk -F: '($2==\"\")'/etc/shadow”查看空口令账号 使用命令“awk -F:'($3==0)'/etc/passwd”查看UID为零的账号

- 3-

加固方法 使用命令“passwd <用户名>”为空口令账号设定密码UID 为零的账号应该只有root 是否实施 备注

2.3添加口令策略

操作目的 检查方法 加强口令的复杂度等，降低被猜解的可能性 使用命令“cat /etc/login.defs|grepPASS”和“cat /etc/pam.d/system-auth”查看密码策略设置 加固方法 1，使用命令“vi/etc/login.defs”修改配置文件 PASS_MAX_DAYS PASS_MIN_DAYS PASS_WARN_AGE 90 0 7 #新建用户的密码最长使用天数 #新建用户的密码最短使用天数 #新建用户的密码到期提前提醒天数使用chage命令修改用户设置，例如： chage -m 0 -M 30 -E 2000-01-01 -W 7<用户名> 表示：将此用户的密码最长使用天数设为30，最短使用天数设为0，密 码2000年1月1日过期，过期前7天里警告用户 2，设置连续输错3次密码，账号锁定5分钟， 使用命令“vi /etc/pam.d/system-auth”修改配置文件，添加 auth required pam_tally.so onerr=fail deny=3unlock_time=300 注：解锁用户faillog 是否实施 备注 -u <用户名> -r 锁定用户功能谨慎使用，密码策略对root不生效

2.4 检查 Grub/Lilo密码

操作目的 检查方法 查看系统引导管理器是否设置密码 使用命令“cat/etc/grub.conf|greppassword”查看grub是否设置密码 使用命令“cat/etc/lilo.conf|greppassword”查看lilo是否设置密码 加固方法 为grub或lilo设置密码

- 4-

是否实施 备注

2.5 限制 FTP登录

操作目的 检查方法 禁止不必要的用户登录FTP服务，降低风险 使用命令“cat/etc/ftpusers”查看配置文件，确认是否包含用户名，这 些用户名不允许登录FTP服务 加固方法 使用命令“vi /etc/ftpusers”修改配置文件，添加行，每行包含一个用户名，禁止此用户登录FTP服务 是否实施 备注

2.6 限制用户su

操作目的 检查方法 限制能su到root的用户 使用命令“cat /etc/pam.d/su|grep pam_wheel.so”查看配置文件，确认是否有相关限制 加固方法 需要在test组里加入允许su到root的用户 使用命令“vi/etc/pam.d/su”修改配置文件，添加行 例如：只允许test组用户su到root auth required pam_wheel.sogroup=test 是否实施 备注

- 5-

三. 服务

3.1关闭不必要的服务

操作目的 检查方法 关闭不必要的服务（普通服务和xinetd服务），降低风险 使用命令“who-r”查看当前init级别 使用命令“chkconfig --list<服务名>”查看所有服务的状态 加固方法 使用命令“chkconfig --level <服务名>on|off|reset”设置服 务在个init级别下开机是否启动 是否实施 备注 新版本的Linux中，xinetd已经将inetd取代

3.2 检查 SSH服务

操作目的 检查方法 对SSH服务进行安全检查 使用命令“cat/etc/ssh/sshd_config”查看配置文件 （1）检查是否允许root直接登录 检查“PermitRootLogin ”的值是否为no （2）检查SSH使用的协议版本 检查“Protocol”的值 （3）检查允许密码错误次数（默认6次），超过后断开连接 检查“MaxAuthTries”的值 加固方法 使用命令“vi/etc/ssh/sshd_config”编辑配置文件 （1）不允许root直接登录 设置“PermitRootLogin ”的值为no （2）修改SSH使用的协议版本 设置“Protocol”的版本为2 （3）修改允许密码错误次数（默认6次） 设置“MaxAuthTries”的值为3 是否实施 备注 root用户需要使用普通用户远程登录后su进行系统管理

- 6-

3.3 检查.rhosts 和/etc/hosts.equiv文件

操作目的 检查方法 检查.rhosts 和/etc/hosts.equiv文件配置错误将导致非授权的访问 1）使用“find / -name .rhosts -print”查找.rhosts 文件，若.rhosts文件 中包含远程主机名，则代表允许该主机通过rlogin等方式登录本机；如 果包含两个加号，代表任何主机都可以无需用户名口令登录本机 （2）使用“cat/etc/hosts.equiv”查看配置文件，若包含远程主机名， 则代表允许该主机远程登录本机 加固方法 使用命令“vi .rhosts”和“vi/etc/hosts.equiv”修改配置文件，正确进 行授权 是否实施 备注

3.4 限制Ctrl+Alt+Del命令

操作目的 检查方法 加固方法 防止误使用Ctrl+Alt+Del重启系统 使用命令“cat /etc/inittab|grepctrlaltdel”查看输入行是否被注释 先使用命令“vi /etc/inittab”编辑配置文件，在行开头添加注释符号“#” #ca::ctrlaltdel:/sbin/shutdown -t3 -r now，再使用命令“initq”应用设置 是否实施 备注

3.5 查看 NFS共享

操作目的 检查方法 加固方法 是否实施 备注 查看NFS共享 使用命令“exportfs”查看NFS输出的共享目录 使用命令“vi/etc/exports”编辑配置文件，删除不必要的共享

- 7-

四. 文件系统

4.1 设置UMASK值

操作目的 检查方法 加固方法 设置默认的UMASK值，增强安全性 使用命令“umask”查看默认的UMASK值是否为027 使用命令“vi /etc/profile”修改配置文件，添加行“UMASK 027”，即 新创建的文件属主读写执行权限，同组用户读和执行权限，其他用户无权限，使用命令“umask027”应用设置 是否实施 备注

4.2 Bash历史命令

操作目的 检查方法 设置Bash保留历史命令的条数 使用命令“cat /etc/profile|grep HISTSIZE=”和““cat/etc/profile|grep HISTFILESIZE=”查看保留历史命令的条数 加固方法 使用命令“vi/etc/profile”修改配置文件，修改HISTSIZE=5和 HISTFILESIZE=5即保留最新执行的5条命令 是否实施 备注

4.3设置登录超时

操作目的 检查方法 加固方法 设置系统登录后，连接超时时间，增强安全性 使用命令“cat/etc/profile|grepTMOUT”查看TMOUT是否被设置 使用命令“vi/etc/profile”修改配置文件，添加“TMOUT=”行开头的 注释，设置为“TMOUT=180”，即超时时间为3分钟 是否实施 备注

- 8-

五. 日志

5.1 syslogd日志

操作目的 检查方法 查看所有日志记录 使用命令“cat/etc/syslog.conf”查看syslogd的配置 系统日志（默认）/var/log/messages cron日志（默认）/var/log/cron 安全日志（默认）/var/log/secure 加固方法 是否实施 备注 添加相关日志的记录

- 9-