专栏首页信安之路Linux基线加固

Linux基线加固

主机安全的风险级别除了漏洞,另一个重要的参考值是安全基线的风险分值,本次介绍的主要是结合目前公司的业务实际情况制作的一份安全基线脚本,供大家进行参考。

适用环境

适用环境:RedHat系统Linux

注意

在配置系统基线测试之前,虚拟机一定要提前制作快照,配置测试期间尽量不要退出登录状态,以便出现差错的时候能够及时回退。

基线配置内容

/etc/pam.d/system-auth

是用户使用pam认证模块的登录策略配置文件,配置用户密码的复杂度、登录失败暂锁、重复使用密码次数等都是配置此文件。

密码复杂度是在password验证类型中调用pam_cracklib.so动态链接库:

password    required      pam_cracklib.so  try_first_pass minlen=8 ucredit=-1   lcredit=-1   ocredit=-1 dcredit=-1 retry=3 difok=5

登录失败暂锁机制是在auth和account验证类型中调用pam_tally.so动态链接库,此外,针对远程登录的设置可在/etc/pam.d/sshd配置文件中做同样的配置:

auth        required      pam_tally.so deny=5 unlock_time=600 even_deny_root root_unlock_time=600
account     required      pam_tally.so

密码重复使用次数在password验证类型调用pam_unix.so链接库:

password    sufficient    pam_unix.so remember=5

设置登录超时退出机制需要在/etc/profile文件中添加TMOUT值的设置:

/etc/login.defs

文件是配置用户密码策略的,基线检查项中包括密码的时效性及默认访问权限两项。

密码时效性按照要求需满足最小长度8位、最大使用时间90天、最小使用天数6天、提醒时间为30天,也可根据实际需求自定义:

默认访问权限修改:

对重要文件目录权限的设置:

在这里遇到了一个最大的坑,在修改/etc目录的权限后,导致了系统无法登陆,之后查看应用日志才发现,系统启用了nscd服务的原因,具体原因无法确定,但是根据nscd服务的作用是缓存passwd、group、hosts三种服务加快解析,可能原因是用户登录时认证先通过nscd服务缓存,但是nscd服务进程因权限设置无法读取/etc/group和/etc/passwd导致。

登录时提示connect reset by perr是/etc/ssh/下的key文件权限过大导致:

提示No user exists for uid 0,则是nscd服务进程无法读取/etc/passwd文件的原因,关闭nscd服务并禁止自启动则行:

设置用户umask为077:

ssh登录设置告警banner

FTP安全设置,禁止匿名登录、禁止root登录、删除ftp账户登录系统

设置重要的文件属性放篡改:

设置日志审计检查:

首先需要安装syslog或者rsyslog或者syslog-ng三个服务中的一个,然后需要保证创建了/var/log/cron、/var/adm/messages文件。

在/etc/rsyslog.conf或/etc/syslog.conf配置文件中添加:

在/etc/syslog-ng/syslog-ng.conf配置文件中添加:

禁止wheel组以外的用户su为root,在/etc/pam.d/su文件内开头添加:

auth            sufficient      pam_rootok.so
auth            required        pam_wheel.so group=wheel

关闭不必要的服务与端口:

ntalk、lpd、kshell、time、sendmail、klogin、printer、nfslock、echo、discard、chargen、bootps、daytime、tftp、ypbind、ident

设置core dump

删除潜在危险文件hosts.equiv、.rhosts、.netrc

设置系统的内核参数:

检查修改suid和sgid权限文件:

加固脚本:

本文分享自微信公众号 - 信安之路(xazlsec),作者:guiseng

原文出处及转载信息见文内详细说明,如有侵权,请联系 yunjia_community@tencent.com 删除。

原始发表时间:2017-07-31

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

我来说两句

0 条评论
登录 后参与评论

相关文章

  • Linux本地信息收集

    我们在获取到webshell之后,经常会遇到Linux的操作系统,这是我们需要对Linux系统本地的敏感资源进行信息收集,下面就是一些有用的信息获取方式。

    信安之路
  • 如何优雅的绕过杀软获取系统权限

    特征库扫描法:检查文件中是否存在与常见病毒相同的代码。如果匹配,则说明存在病毒。由于该方法较慢,因此现在一般使用通配符扫描法进行代替。

    信安之路
  • 如果是你,你对信安之路会有哪些期望

    昨天在 信安之路学习交流群 发了一个小调查,来了解大家对于文章的喜好以及对信安之路未来的期望,希望能够尽可能的满足小伙伴的期望,让信安之路走的更远,让更多的小伙...

    信安之路
  • Ubuntu系统微调

    本章讲述了基本的基于命令行界面的系统配置方法。在学习本章前,你需要先阅读 Ubuntu 系统安装提示, 第 3 章.

    一见
  • 【Go API 开发实战 3】API 流程和代码结构

    为了使读者在开始实战之前对 API 开发有个整体的了解,这里选择了两个流程来介绍:

    腾讯技术工程官方号
  • APK接口隐私安全测试

    方案二、服务器过滤: 1、搭建测试服务器,手机代理到测试服务器; 2、配置server,将指定端口接收的请求按照原有域名转发,同时通过lua脚本进行head...

    用户5521279
  • Linux系统部分主要目录或文件汇总

    醉生萌死
  • 超强图文|并发编程【等待/通知机制】就是这个feel~

    现陆续将Demo代码和技术文章整理在一起 Github实践精选 ,方便大家阅读查看,本文同样收录在此,觉得不错,还请Star?

    用户4172423
  • Facebook开源的数据Mock:Memisis详解

    Criss@陈磊
  • 两数之和

    一份执着✘

作者介绍

精选专题

活动推荐

扫码关注云+社区

领取腾讯云代金券