Linux基线加固

主机安全的风险级别除了漏洞，另一个重要的参考值是安全基线的风险分值，本次介绍的主要是结合目前公司的业务实际情况制作的一份安全基线脚本，供大家进行参考。

适用环境

适用环境：RedHat系统Linux

注意

在配置系统基线测试之前，虚拟机一定要提前制作快照，配置测试期间尽量不要退出登录状态，以便出现差错的时候能够及时回退。

基线配置内容

/etc/pam.d/system-auth

是用户使用pam认证模块的登录策略配置文件，配置用户密码的复杂度、登录失败暂锁、重复使用密码次数等都是配置此文件。

密码复杂度是在password验证类型中调用pam_cracklib.so动态链接库：

password    required      pam_cracklib.so  try_first_pass minlen=8 ucredit=-1   lcredit=-1   ocredit=-1 dcredit=-1 retry=3 difok=5

登录失败暂锁机制是在auth和account验证类型中调用pam_tally.so动态链接库，此外，针对远程登录的设置可在/etc/pam.d/sshd配置文件中做同样的配置：

auth        required      pam_tally.so deny=5 unlock_time=600 even_deny_root root_unlock_time=600
account     required      pam_tally.so

密码重复使用次数在password验证类型调用pam_unix.so链接库：

password    sufficient    pam_unix.so remember=5

设置登录超时退出机制需要在/etc/profile文件中添加TMOUT值的设置：

/etc/login.defs

文件是配置用户密码策略的，基线检查项中包括密码的时效性及默认访问权限两项。

密码时效性按照要求需满足最小长度8位、最大使用时间90天、最小使用天数6天、提醒时间为30天，也可根据实际需求自定义：

默认访问权限修改：

对重要文件目录权限的设置：

在这里遇到了一个最大的坑，在修改/etc目录的权限后，导致了系统无法登陆，之后查看应用日志才发现，系统启用了nscd服务的原因，具体原因无法确定，但是根据nscd服务的作用是缓存passwd、group、hosts三种服务加快解析，可能原因是用户登录时认证先通过nscd服务缓存，但是nscd服务进程因权限设置无法读取/etc/group和/etc/passwd导致。

登录时提示connect reset by perr是/etc/ssh/下的key文件权限过大导致：

提示No user exists for uid 0，则是nscd服务进程无法读取/etc/passwd文件的原因，关闭nscd服务并禁止自启动则行：

设置用户umask为077：

ssh登录设置告警banner

FTP安全设置，禁止匿名登录、禁止root登录、删除ftp账户登录系统

设置重要的文件属性放篡改：

设置日志审计检查：

首先需要安装syslog或者rsyslog或者syslog-ng三个服务中的一个，然后需要保证创建了/var/log/cron、/var/adm/messages文件。

在/etc/rsyslog.conf或/etc/syslog.conf配置文件中添加：

在/etc/syslog-ng/syslog-ng.conf配置文件中添加：

禁止wheel组以外的用户su为root，在/etc/pam.d/su文件内开头添加：

auth            sufficient      pam_rootok.so
auth            required        pam_wheel.so group=wheel

关闭不必要的服务与端口:

ntalk、lpd、kshell、time、sendmail、klogin、printer、nfslock、echo、discard、chargen、bootps、daytime、tftp、ypbind、ident

设置core dump

删除潜在危险文件hosts.equiv、.rhosts、.netrc

设置系统的内核参数：

检查修改suid和sgid权限文件：

加固脚本：