主机安全的风险级别除了漏洞,另一个重要的参考值是安全基线的风险分值,本次介绍的主要是结合目前公司的业务实际情况制作的一份安全基线脚本,供大家进行参考。
适用环境:RedHat系统Linux
在配置系统基线测试之前,虚拟机一定要提前制作快照,配置测试期间尽量不要退出登录状态,以便出现差错的时候能够及时回退。
/etc/pam.d/system-auth
是用户使用pam认证模块的登录策略配置文件,配置用户密码的复杂度、登录失败暂锁、重复使用密码次数等都是配置此文件。
password required pam_cracklib.so try_first_pass minlen=8 ucredit=-1 lcredit=-1 ocredit=-1 dcredit=-1 retry=3 difok=5
auth required pam_tally.so deny=5 unlock_time=600 even_deny_root root_unlock_time=600
account required pam_tally.so
password sufficient pam_unix.so remember=5
/etc/login.defs
文件是配置用户密码策略的,基线检查项中包括密码的时效性及默认访问权限两项。
在这里遇到了一个最大的坑,在修改/etc目录的权限后,导致了系统无法登陆,之后查看应用日志才发现,系统启用了nscd服务的原因,具体原因无法确定,但是根据nscd服务的作用是缓存passwd、group、hosts三种服务加快解析,可能原因是用户登录时认证先通过nscd服务缓存,但是nscd服务进程因权限设置无法读取/etc/group和/etc/passwd导致。
首先需要安装syslog或者rsyslog或者syslog-ng三个服务中的一个,然后需要保证创建了/var/log/cron、/var/adm/messages文件。
auth sufficient pam_rootok.so
auth required pam_wheel.so group=wheel
ntalk、lpd、kshell、time、sendmail、klogin、printer、nfslock、echo、discard、chargen、bootps、daytime、tftp、ypbind、ident
删除潜在危险文件hosts.equiv、.rhosts、.netrc
设置系统的内核参数:
检查修改suid和sgid权限文件: