. .. ..
CentOS7.0系统安全加固手册
目录
一、用户和环境 ....................................................................................................................... 2 二、系统访问认证和授权 ....................................................................................................... 4 三、核心调整 ........................................................................................................................... 5 四、需要关闭的一些服务 ....................................................................................................... 5 五、SSH安全配置 .................................................................................................................. 5 六、封堵openssl的Heartbleed漏洞 ..................................................................................... 6 七、开启防火墙策略 ............................................................................................................... 7 八、启用系统审计服务 ........................................................................................................... 9 九、部署完整性检查工具软件 ............................................................................................. 10 十、部署系统监控环境 ......................................................................................................... 12
. ...
.c
. .. ..
以下安全设置均是在CentOS7.0_x64环境下minimal安装进行的验证。
一、用户和环境
检查项 清除了operator、lp、shutdown、halt、games、gopher 删除的用户组有: lp、uucp、games、dip 其它系统伪均处于锁定SHELL登录的状态
注释:
1
2 3 4 5
验证是否有账号存在空口令的情况:
awk -F: '($2 == \
检查除了root以外是否还有其它账号的UID为0:
任何UID为0的账号在系统上都具有超级用户权限.
awk -F: '($3 == 0) { print $1 }' /etc/passwd
检查root用户的$PATH中是否有’.’或者所有用户/组用户可写的目录
超级用户的$PATH设置中如果存在这些目录可能会导致超级用户误执行一个特洛伊木马
用户的home目录许可权限设置为700 用户home目录的许可权限限制不严可能会导致恶意用户读/修改/删除其它用户的数据或取得其它用户的系统权限
6
是否有用户的点文件是所有用户可读写的: Unix/Linux下通常以”.”开头的文件是用户的配置文件,如果存在所有用户可读/写的配置文件可能会使恶意用户能读/写其它用户的数据或取得其它用户的系统权限
for dir in \\
`awk -F: '($3 >= 500) { print $6 }' /etc/passwd` do
for file in $dir/.[A-Za-z0-9]* do
if [ -f $file ]; then chmod o-w $file fi done done
为用户设置合适的缺省umask值:
7
为用户设置缺省的umask值有助于防止用户建立所有用户可写的文件而危及用户的数据.
cd /etc
for file in profile csh.login csh.cshrc bashrc do
if [ `grep -c umask $file` -eq 0 ];
. ...
.c
. .. ..
then
echo \fi
chown root:root $file chmod 444 $file done
设备系统口令策略:修改/etc/login.defs文件 将PASS_MIN_LEN最小密码长度设置为12位。
限制能够su为root 的用户:#vi /etc/pam.d/su 在文件头部添加下面这样的一行
auth required pam_wheel.so use_uid
8 10
这样,只有wheel组的用户可以su到root 操作样例:
#usermod -G10 test 将test用户加入到wheel组
11
修改别名文件/etc/aliases:#vi /etc/aliases
注释掉不要的 #games: root #ingres: root #system: root #toor: root #uucp: root #manager: root #dumper: root #operator: root #decode: root #root: marc 修改后执行/usr/bin/newaliases
13 14 16 17
修改TMOUT值,设置自动注销时间 vi /etc/profile 增加TMOUT=600
设置Bash保留历史命令的条数 #vi /etc/profile 修改HISTSIZE=5
无操作600秒后自动退出
即只保留最新执行的5条命令
防止IP SPOOF:
#vi /etc/host.conf 添加:nospoof on 使用日志服务器:
#vi /etc/rsyslog.conf 照以下样式修改
不允许服务器对IP地址进行欺骗
这里只是作为参考,需要根据实际决定怎么配置参数
*.info;mail.none;authpriv.none;cron.none 192.168.10.199
. ...
.c
CentOS7系统安全加固实施方案
