linux系统安全配置要求

.

1.7. 设置帐户口令生存周期

配置项名称 设置帐户口令生存周期 执行： #more /etc/default/security 检查方法 查看是否存在以下各项参数： PASSWORD_MAXDAYS=90 PASSWORD_WARNDAYS=28 1、执行备份： #cp –p /etc/default/security /etc/default/security_bak #cp –p /etc/passwd /etc/passwd_bak 2、执行下列命令，编辑/etc/default/security 操作步骤 #vi /etc/default/security 修改以下各项参数： PASSWORD_MAXDAYS=90 PASSWORD_WARNDAYS=28 执行： 回退操作 #cp /etc/default/security_bak /etc/default/security #cp /etc/passwd_bak /etc/passwd 风险说明 可能在密码过期后影响正常使用及维护 .

.

1.8. 设定密码历史，不能重复使用最近5次（含5次）内已使用的口

令

配置项名称 应配置设备，使用户不能重复使用最近5次（含5次）内已使用的口令 执行： #more /etc/default/security 检查方法 查看是否存在以下参数： PASSWORD_HISTORY_DEPTH=5 1、执行备份： #cp –p /etc/default/security /etc/default/security_bak #cp –p /etc/passwd /etc/passwd_bak 操作步骤 2、执行下列命令，编辑/etc/default/security #vi /etc/default/security 修改以下参数： PASSWORD_HISTORY_DEPTH=5 执行： 回退操作 #cp /etc/default/security_bak /etc/default/security #cp /etc/passwd_bak /etc/passwd 风险说明 低风险 1.9. 限制root用户远程登录

配置项名称 root用户远程登录限制 .

.

执行：

#more /etc/securetty 检查是否有下列行：

检查方法

Console 执行：

#more /opt/ssh/etc/sshd_config 检查是否有PermitRootLogin no

1、执行备份：

#cp –p /etc/securetty / etc/securetty_bak

#cp -p /opt/ssh/etc/sshd_config /opt/ssh/etc/sshd_config_bak 2、新建一个普通用户并设置高强度密码： #useradd username

操作步骤

#passwd username

3、禁止root用户远程登录系统： #vi /etc/securetty

去掉console前面的注释，保存退出 #vi /opt/ssh/etc/sshd_config 将PermitRootLogin后的yes改为no

执行：

回退操作

#cp /etc/securetty_bak /etc/securetty

#cp -p /opt/ssh/etc/sshd_config_bak /opt/ssh/etc/sshd_config

风险说明

严重改变维护人员操作习惯，必须新建一个能够执行交互式登录的普通用户并能够通过su提升权限，可能带来新的威胁

.

.

1.10. 检查passwd、group文件权限设置

配置项名称 检查passwd、group文件权限设置 执行： 检查方法 #ls –l /etc/passwd /etc/group 1、执行备份： #cp –p /etc/passwd /etc/passwd_bak #cp –p /etc/group /etc/group_bak 操作步骤 2、修改文件权限： #chmod 644 /etc/passwd #chmod 644 /etc/group 执行： 回 退 #cp /etc/passwd_bak /etc/passwd #cp /etc/group_bak /etc/group 风险说明 权限设置不当可能导致无法执行用户管理，并可能造成某些应用运行异常

1.11. 系统umask设置

配置项名称 系统umask设置 执行： 检查方法 #more /etc/profile 检查系统umask值 .

.

1、执行备份： #cp -p /etc/profile /etc/profile_bak 操作步骤 2、修改umask设置： #vi /etc/profile 将umask值修改为027，保存退出 执行： 回退操作 #cp /etc/profile_bak /etc/profile 风险说明 umask设置不当可能导致某些应用无法正确自动创建目录或文件，从而运行异常 2. 访问、认证安全配置要求

2.1. 远程登录取消telnet采用ssh

配置项名称 远程登录取消telnet采用ssh 查看SSH、telnet服务状态： #ps –elf | grep ssh 检查方法 #ps –elf | grep telnet SSH服务状态查看结果为：online telnet服务状态查看结果为：disabled 1、备份#cp –p /etc/inetd.conf /etc/inetd.conf_bak 操作步骤 2、修改/etc/inetd.conf文件，将telnet行注释掉 .