溫馨提示×

溫馨提示×

您好,登錄后才能下訂單哦!

密碼登錄×
登錄注冊×
其他方式登錄
點擊 登錄注冊 即表示同意《億速云用戶服務條款》

Linux操作系統基線核查的方法有哪些

發布時間:2021-10-28 16:28:30 來源:億速云 閱讀:915 作者:iii 欄目:編程語言

這篇文章主要講解了“Linux操作系統基線核查的方法有哪些”,文中的講解內容簡單清晰,易于學習與理解,下面請大家跟著小編的思路慢慢深入,一起來研究和學習“Linux操作系統基線核查的方法有哪些”吧!

一、身份鑒別

序號

要求項/控制點

是否滿足

加固方法

1

應對登錄的用戶進行身份標識和鑒別,身份標識具有唯一性,身份鑒別信息具有復雜度要求并定期更換;


密碼復雜度: 字母/數字/特殊符號,不小于8位; 用戶密碼 5 次不能重復

vim /etc/pam.d/system-auth

auth required pam_tally2.so onerr=fail deny=3  unlock_time=1200even_deny_root root_unlock_time=1200

Auth sufficient pam_unix.so nullok try_first_pass remember=5

Password requisite pam_cracklib.so retry=3 difork=3 minlen=8 lcredit=-1 dcredit=-1 ocredit=-1

設置定期修改密碼時間

vim /etc/login.defs

PASS_MAX_DAYS   90

PASS_MIN_DAYS   0

PASS_MIN_LEN   8

PASS_WARN_AGE   7

2

應具有登錄失敗處理功能,應加固并啟用結束會話、限制非法登錄次數和當登錄連接超時自動退出等相關措施;


設置連續輸錯三次密碼,賬號鎖定五分鐘。

使用命令 vi /etc/pam.d/common-auth修改配置文件,在配置文件中添加 auth required pam_tally.so onerr=fail deny=3 unlock_time=300

3

當進行遠程管理時,應采取必要措施防止鑒別信息再網絡傳輸過程中被竊聽。


禁止使用telnet協議,可選用ssh協議進行遠程管理

利用命令rpm -qa |grep telnet查看是否安裝telnet 和telnet server 如果安裝的話
1、編輯/etc/xinetd.d/telnet, 修改 disable = yes。
2.激活xinetd服務。命令如下:
# service xinetd restart
如果沒安裝則說明禁用telnet服務;

對于使用IP協議進行遠程維護的設備,應配置使用SSH協議

在網站上免費獲取OpenSSH http://www.openssh.com/,并根據安裝文件說明執行安裝步驟

二、訪問控制

序號

要求項/控制點

是否滿足

加固方法

1

應對登錄的用戶分配賬戶與權限;


查看是否存在root賬戶一號通用多用的情況,若存在,則需要建立若干符合實際情況的普通賬號,每個普通賬號都得遵循最小權限原則并且禁止直接使用root賬戶。

創建普通權限賬號并配置密碼,防止無法遠程登錄;

使用命令 vi /etc/ssh/sshd_config修改配置文件將PermitRootLogin的值改成no,并保存,然后使用service sshd restart重啟服務。

2

應重命名或刪除默認賬戶,修改默認賬戶的默認口令;


查看空口令和root權限賬號,確認是否存在異常賬號

使用命令 awk -F: '($2=="")' /etc/shadow 查看空口令賬號;

使用命令 awk -F: '($3==0)' /etc/passwd 查看UID為零的賬號;

使用命令 passwd <用戶名> 為空口令賬號設定密碼;

檢查是否存在除root之外UID為0的用戶。

3

應及時刪除或停用多余的、過期的賬戶,避免共享賬戶的存在;


刪除用戶:#userdel username;
鎖定用戶:
#usermod -L username
只有具備超級用戶權限的使用者方可使用
#usermod –U username可以解鎖。
補充操作說明
需要鎖定的用戶:

adm,lp,mail,uucp,operator,games,gopher,ftp,nobody,nobody4,noaccess,listen,webservd,rpm,dbus,avahi,mailnull,smmsp,nscd,vcsa,rpc,rpcuser,nfs,sshd,pcap,ntp,haldaemon,distcache,apache,webalizer,squid,xfs,gdm,sabayon,named

4

用授予管理用戶所需的最小權限,實現管理用戶的權限分離


查看是否存在權限過大的用戶,是否能操作其應當訪問的范圍之外的系統資源。若存在,需要降低其權限,使其僅僅能操作應當訪問的系統資源。

創建普通權限賬號并配置密碼,防止無法遠程登錄

限制root用戶直接登錄

使用命令 vi /etc/ssh/sshd_config修改配置文件將PermitRootLogin的值改成no,并保存,然后使用service sshd restart重啟服務。

限制能su到root的用戶

編輯su文件(vi /etc/pam.d/su),在開頭添加下面兩行:
auth sufficient pam_rootok.so 和
auth required pam_wheel.so group=wheel 這表明只有wheel組的成員可以使用su命令成為root用戶。
你可以把用戶添加到wheel組,以使它可以使用su命令成為root用戶。
添加方法為:usermod –G wheel username

三、安全審計

序號

要求項/控制點

是否滿足

加固方法

1

應啟用安全審計功能,審計覆蓋到每個用戶,對重要的用戶行為和重要安全事件進行審計;


啟用系統本身的syslog日志功能和auditd審計功能, 審計覆蓋到服務器及用戶的行為

記錄用戶的登錄與操作

vim /etc/profile

USER_IP=`who -u am i 2>/dev/null| awk '{print $NF}'|sed -e 's/[()]//g'`

if [ "$USER_IP" = "" ]

then

USER_IP=`hostname`

fi

if [ ! -d /tmp/dbasky ]

then

mkdir /tmp/dbasky

chmod  755 /tmp/dbasky

fi

if [ ! -d /tmp/dbasky/${LOGNAME} ]

then

mkdir /tmp/dbasky/${LOGNAME}

chmod 300 /tmp/dbasky/${LOGNAME}

fi

export HISTSIZE=4096

DT=`date "+%Y-%m-%d_%H-%M-%S"`

export HISTFILE="/tmp/dbasky/${LOGNAME}/${USER_IP}-dbasky.$DT"
export HISTTIMEFORMAT="[%Y.%m.%d %H:%M:%S]"
chmod 600 /tmp/dbasky/${LOGNAME}/*dbasky* 2>/dev/null

2

審計記錄應包括事件的日期、用戶、事件類型、事件是否成功及其它與審計相關的信息;


查看審計內容,是否包含事件的日期、用戶、事件類型、事件是否成功等關鍵信息

3

應對審計記錄進行保護,定期備份,避免受到未預期的刪除、修改或覆蓋等。


更改所有日志文件屬性,使文件只可追加不可修改:

Chattr +a /var/log/messages  /var/log/secure /var/log/maillog  /var/log/cron

定期導出備份,審計記錄至少保留6個月以上

四、入侵防范

序號

要求項/控制點

是否滿足

加固方法

1

應遵循最小安裝的原則,僅安裝需要的組件和應用程序;


遵循最小安裝原則,禁止“夾帶”現象

2

應關閉不需要的系統服務、默認共享和高危端口;


查看監聽端口

Netstat -an

查看開啟服務

Chkconfig -list |grep on

要直接關閉某個服務,如sshd可用如下命令:
# /etc/init.d/sshd stop #關閉正在運行的sshd服務

關閉下列不必要的基本網絡服務。
chargen-dgram daytime-stream echo-streamklogin tcpmux-server chargen-stream discard-dgram eklogin krb5-telnet tftp cvs discard-stream ekrb5-telnet kshell time-dgram daytime-dgram echo-dgram gssftp rsync time-stream

3

應通過設定終端接入方式或網絡地址范圍對通過網絡進行管理的管理終端進行限制;


通過vpn連接內網環境,再利用堡壘機進行統一管理登錄

五、惡意代碼防范

序號

要求項/控制點

是否滿足

加固方法

1

應安裝防惡意代碼軟件或加固具有相應功能的軟件,并定期進行升級和更新防惡意代碼庫;


查看當前殺毒軟件,記錄版本,是否升級為最新

六、數據備份恢復

序號

要求項/控制點

是否滿足

加固方法

1

應提供重要數據的本地數據備份與恢復功能;


查看是否有備份文件,以及了解備份機制和恢復機制

若無,需要建立備份文件,進行每日增量、每周全量的備份策略。

2

應提供異地數據備份功能,利用通信網絡將重要數據定時批量傳送至備用場地。


將備份文件存放異地且確保其有效性,避免出現單點故障后不具備恢復的風險。

七、資源控制

序號

要求項/控制點

是否滿足

加固方法

1

應確保系統磁盤根分區已使用空間維持在80%以下。


如果磁盤動態分區空間不足,建議管理員擴充磁盤容量

2

應設置命令行界面超時退出


以root賬戶執行,vi /etc/profile,增加 export TMOUT=600(單位:秒,可根據具體情況設定超時退出時間,要求不小于600秒),注銷用戶,再用該用戶登錄激活該功能

3

應限制遠程登錄IP范圍


檢查/etc/hosts.allow配置

編輯/etc/hosts.allow
增加一行 <service>: 允許訪問的IP;舉例如下:
all:192.168.4.44:allow #允許單個IP;
sshd:192.168.1.:allow #允許192.168.1的整個網段的PC通過SSH來訪問本機
重啟進程:
#/etc/init.d/xinetd restart

檢查/etc/hosts.deny配置

編輯/etc/hosts.deny
增加一行 all:all
重啟進程:
#/etc/init.d/xinetd restart

4

應配置用戶所需最小權限


配置/etc/passwd文件權限

chmod 644 /etc/passwd

配置/etc/group文件權限

chmod 644 /etc/group

配置/etc/shadow文件權限

chmod 600 /etc/shadow

感謝各位的閱讀,以上就是“Linux操作系統基線核查的方法有哪些”的內容了,經過本文的學習后,相信大家對Linux操作系統基線核查的方法有哪些這一問題有了更深刻的體會,具體使用情況還需要大家實踐驗證。這里是億速云,小編將為大家推送更多相關知識點的文章,歡迎關注!

向AI問一下細節

免責聲明:本站發布的內容(圖片、視頻和文字)以原創、轉載和分享為主,文章觀點不代表本網站立場,如果涉及侵權請聯系站長郵箱:is@yisu.com進行舉報,并提供相關證據,一經查實,將立刻刪除涉嫌侵權內容。

AI

亚洲午夜精品一区二区_中文无码日韩欧免_久久香蕉精品视频_欧美主播一区二区三区美女