這篇文章主要講解了“Linux操作系統基線核查的方法有哪些”,文中的講解內容簡單清晰,易于學習與理解,下面請大家跟著小編的思路慢慢深入,一起來研究和學習“Linux操作系統基線核查的方法有哪些”吧!
序號 | 要求項/控制點 | 是否滿足 | 加固方法 |
1 | 應對登錄的用戶進行身份標識和鑒別,身份標識具有唯一性,身份鑒別信息具有復雜度要求并定期更換; | 密碼復雜度: 字母/數字/特殊符號,不小于8位; 用戶密碼 5 次不能重復 vim /etc/pam.d/system-auth auth required pam_tally2.so onerr=fail deny=3 unlock_time=1200even_deny_root root_unlock_time=1200 Auth sufficient pam_unix.so nullok try_first_pass remember=5 Password requisite pam_cracklib.so retry=3 difork=3 minlen=8 lcredit=-1 dcredit=-1 ocredit=-1 設置定期修改密碼時間 vim /etc/login.defs PASS_MAX_DAYS 90 PASS_MIN_DAYS 0 PASS_MIN_LEN 8 PASS_WARN_AGE 7 | |
2 | 應具有登錄失敗處理功能,應加固并啟用結束會話、限制非法登錄次數和當登錄連接超時自動退出等相關措施; | 設置連續輸錯三次密碼,賬號鎖定五分鐘。 使用命令 vi /etc/pam.d/common-auth修改配置文件,在配置文件中添加 auth required pam_tally.so onerr=fail deny=3 unlock_time=300 | |
3 | 當進行遠程管理時,應采取必要措施防止鑒別信息再網絡傳輸過程中被竊聽。 | 禁止使用telnet協議,可選用ssh協議進行遠程管理 利用命令rpm -qa |grep telnet查看是否安裝telnet 和telnet server 如果安裝的話 對于使用IP協議進行遠程維護的設備,應配置使用SSH協議 在網站上免費獲取OpenSSH http://www.openssh.com/,并根據安裝文件說明執行安裝步驟 |
序號 | 要求項/控制點 | 是否滿足 | 加固方法 |
1 | 應對登錄的用戶分配賬戶與權限; | 查看是否存在root賬戶一號通用多用的情況,若存在,則需要建立若干符合實際情況的普通賬號,每個普通賬號都得遵循最小權限原則并且禁止直接使用root賬戶。 創建普通權限賬號并配置密碼,防止無法遠程登錄; 使用命令 vi /etc/ssh/sshd_config修改配置文件將PermitRootLogin的值改成no,并保存,然后使用service sshd restart重啟服務。 | |
2 | 應重命名或刪除默認賬戶,修改默認賬戶的默認口令; | 查看空口令和root權限賬號,確認是否存在異常賬號 使用命令 awk -F: '($2=="")' /etc/shadow 查看空口令賬號; 使用命令 awk -F: '($3==0)' /etc/passwd 查看UID為零的賬號; 使用命令 passwd <用戶名> 為空口令賬號設定密碼; 檢查是否存在除root之外UID為0的用戶。 | |
3 | 應及時刪除或停用多余的、過期的賬戶,避免共享賬戶的存在; | 刪除用戶:#userdel username; adm,lp,mail,uucp,operator,games,gopher,ftp,nobody,nobody4,noaccess,listen,webservd,rpm,dbus,avahi,mailnull,smmsp,nscd,vcsa,rpc,rpcuser,nfs,sshd,pcap,ntp,haldaemon,distcache,apache,webalizer,squid,xfs,gdm,sabayon,named | |
4 | 用授予管理用戶所需的最小權限,實現管理用戶的權限分離 | 查看是否存在權限過大的用戶,是否能操作其應當訪問的范圍之外的系統資源。若存在,需要降低其權限,使其僅僅能操作應當訪問的系統資源。 創建普通權限賬號并配置密碼,防止無法遠程登錄 限制root用戶直接登錄 使用命令 vi /etc/ssh/sshd_config修改配置文件將PermitRootLogin的值改成no,并保存,然后使用service sshd restart重啟服務。 限制能su到root的用戶 編輯su文件(vi /etc/pam.d/su),在開頭添加下面兩行: |
序號 | 要求項/控制點 | 是否滿足 | 加固方法 |
1 | 應啟用安全審計功能,審計覆蓋到每個用戶,對重要的用戶行為和重要安全事件進行審計; | 啟用系統本身的syslog日志功能和auditd審計功能, 審計覆蓋到服務器及用戶的行為 記錄用戶的登錄與操作 vim /etc/profile USER_IP=`who -u am i 2>/dev/null| awk '{print $NF}'|sed -e 's/[()]//g'` if [ "$USER_IP" = "" ] then USER_IP=`hostname` fi if [ ! -d /tmp/dbasky ] then mkdir /tmp/dbasky chmod 755 /tmp/dbasky fi if [ ! -d /tmp/dbasky/${LOGNAME} ] then mkdir /tmp/dbasky/${LOGNAME} chmod 300 /tmp/dbasky/${LOGNAME} fi export HISTSIZE=4096 DT=`date "+%Y-%m-%d_%H-%M-%S"` export HISTFILE="/tmp/dbasky/${LOGNAME}/${USER_IP}-dbasky.$DT" | |
2 | 審計記錄應包括事件的日期、用戶、事件類型、事件是否成功及其它與審計相關的信息; | 查看審計內容,是否包含事件的日期、用戶、事件類型、事件是否成功等關鍵信息 | |
3 | 應對審計記錄進行保護,定期備份,避免受到未預期的刪除、修改或覆蓋等。 | 更改所有日志文件屬性,使文件只可追加不可修改: Chattr +a /var/log/messages /var/log/secure /var/log/maillog /var/log/cron 定期導出備份,審計記錄至少保留6個月以上 |
序號 | 要求項/控制點 | 是否滿足 | 加固方法 |
1 | 應遵循最小安裝的原則,僅安裝需要的組件和應用程序; | 遵循最小安裝原則,禁止“夾帶”現象 | |
2 | 應關閉不需要的系統服務、默認共享和高危端口; | 查看監聽端口 Netstat -an 查看開啟服務 Chkconfig -list |grep on 要直接關閉某個服務,如sshd可用如下命令: | |
3 | 應通過設定終端接入方式或網絡地址范圍對通過網絡進行管理的管理終端進行限制; | 通過vpn連接內網環境,再利用堡壘機進行統一管理登錄 |
序號 | 要求項/控制點 | 是否滿足 | 加固方法 |
1 | 應安裝防惡意代碼軟件或加固具有相應功能的軟件,并定期進行升級和更新防惡意代碼庫; | 查看當前殺毒軟件,記錄版本,是否升級為最新 |
序號 | 要求項/控制點 | 是否滿足 | 加固方法 |
1 | 應提供重要數據的本地數據備份與恢復功能; | 查看是否有備份文件,以及了解備份機制和恢復機制 若無,需要建立備份文件,進行每日增量、每周全量的備份策略。 | |
2 | 應提供異地數據備份功能,利用通信網絡將重要數據定時批量傳送至備用場地。 | 將備份文件存放異地且確保其有效性,避免出現單點故障后不具備恢復的風險。 |
序號 | 要求項/控制點 | 是否滿足 | 加固方法 |
1 | 應確保系統磁盤根分區已使用空間維持在80%以下。 | 如果磁盤動態分區空間不足,建議管理員擴充磁盤容量 | |
2 | 應設置命令行界面超時退出 | 以root賬戶執行,vi /etc/profile,增加 export TMOUT=600(單位:秒,可根據具體情況設定超時退出時間,要求不小于600秒),注銷用戶,再用該用戶登錄激活該功能 | |
3 | 應限制遠程登錄IP范圍 | 檢查/etc/hosts.allow配置 編輯/etc/hosts.allow 檢查/etc/hosts.deny配置 編輯/etc/hosts.deny | |
4 | 應配置用戶所需最小權限 | 配置/etc/passwd文件權限 chmod 644 /etc/passwd 配置/etc/group文件權限 chmod 644 /etc/group 配置/etc/shadow文件權限 chmod 600 /etc/shadow |
感謝各位的閱讀,以上就是“Linux操作系統基線核查的方法有哪些”的內容了,經過本文的學習后,相信大家對Linux操作系統基線核查的方法有哪些這一問題有了更深刻的體會,具體使用情況還需要大家實踐驗證。這里是億速云,小編將為大家推送更多相關知識點的文章,歡迎關注!
免責聲明:本站發布的內容(圖片、視頻和文字)以原創、轉載和分享為主,文章觀點不代表本網站立場,如果涉及侵權請聯系站長郵箱:is@yisu.com進行舉報,并提供相關證據,一經查實,將立刻刪除涉嫌侵權內容。