Linux 安全基线加固

检查是否配置登录超时时间设置
    编辑 vi /etc/profile 文件。配置tmout将值设置为低于300

检查是否禁止root用户登录FTP
    设置如下将对应配置文件中，设置root，禁止登录的用户列表中添加root用户

        编辑 vi /etc/ftpaccess,将root前的#去掉

        编辑 vi /etc/vsftpd/ftpusers,将 root 前的#去掉

        编辑 vi /etc/ftpusers,将 root 前的#去掉

        编辑 vi /etc/vsftpd.ftpusers,将 root 前的#去掉

        编辑 v i /etc/pam.d/vsftpd,将 root 前的#去掉

        编辑 vi /etc/pam.d/ftp,将 root 前的#去掉

检查是否使用SSH协议进行远程维护
    开启 ssh，关闭 telnet

        关闭 telnet

            vi /etc/xinetd.d/telnet，将 disable=no 改成 disable=yes

            chkconfig telnet off；如果需要设置 telnet 服务不为开机自启动，使用命令 chkconfig -del telnet 或者 chkconfig --del telnet

        使用命令 server xinetd restart 或者/etc/init.d/xinetd restart 使更改生效

检查是否配置日志文件安全权限
    对日志文件进行赋权：chmod 640 /var/log/messages，权限要小于等于 640

    对日志文件进行赋权：chmod 640 /var/log/secure，权限要小于等于 640

    对日志文件进行赋权：chmod 640 /var/log/maillog，权限要小于等于 640

    对日志文件进行赋权：chmod 640 /var/log/cron，权限要小于等于 640

    对日志文件进行赋权：chmod 640 /var/log/spooler，权限要小于等于 640

    对日志文件进行赋权：chmod 640 /var/log/boot.log，权限要小于等于 640

检查是否启用 Syslog 日志审计
    系统可能是 syslog 或 rsyslog，配置存在其中一个即可

        vi /etc/syslog.conf,修改或配置 authpriv.* /var/log/secure

        vi /etc/rsyslog.conf,修改或配置 authpriv.* /var/log/secure

检查是否启用远程日志功能
    系统可能是 syslog 或 rsyslog，配置存在其中一个即可

        配置文件添加：vi /etc/syslog.conf，加上*.*

        配置文件添加：vi /etc/rsyslog.conf，加上*.*

检查是否记录 cron 行为日志
    系统可能是 syslog 或 rsyslog，配置存在其中一个即可

        vi /etc/syslog.conf,修改或配置 cron.*

        vi /etc/rsyslog.conf,修改或配置 cron.*

检查是否配置文件与目录缺省权限控制
    配置的值可以为：027|037|077|127|137|177|327|337|377|777|067|167|367|767

        vi /etc/login.defs,修改或配置 umask 027

        vi /etc/profile,修改或配置 umask 027

检测是否限制 root 用户远程登录
    修改配置：vi /etc/ssh/sshd_config,修改或配置 PermitRootLogin no

检查是否限制用户 su 到 root
    添加配置：vi /etc/pam.d/su，修改或配置 auth sufficient pam_rootok.so

    添加配置：vi /etc/pam.d/su，修改或配置 auth required pam_wheel.so group=wheel

检查是否配置用户最小授权
    chmod 644 /etc/passwd 设置文件权限低于等于 644

    chmod 644 /etc/group 设置文件权限低于等于 644

    chmod 600 /etc/shadow 设置文件权限低于等于 600

检查是否关闭不必要的服务和端口
    通过 chkconfig --list daytime 查看对应的服务是否开启，通过 chkconfig daytime off 关闭

        daytime-udp time time-udp echo echo-udp discard discard-udp chargen chargen-udp ntalk ident printer bootps tftp kshell klogin lpd nfs nfs.lock sendmail ypbind

检查是否删除或锁定无关账号
    配置 listen,gdm,webservd,nobody,nobody4,noaccess 账号的状态，通过命令如下：

        chsh listen -s /sbin/nologin

        chsh gdm -s /sbin/nologin

        chsh webservd -s /sbin/nologin

        chsh nobody -s /sbin/nologin

        chsh nobody4 -s /sbin/nologin

        userdel noaccess

检查用户 FTP 访问安全是否配置
    如果有开启 vsftpd 则需要配置如下两个文件，内容添加 root

        vi /etc/vsftpd.chroot_list 配置 root

        vi /etc/vsftpd/chroot_list 配置 root

检测是否删除潜在危险文件
    全局搜索是否存在：.rhosts 文件，如果存在则删除掉

    全局搜索是否存在：.netrc 文件，如果存在则删除掉

    全局搜索是否存在：.hosts.equiv 文件，如果存在则删除掉

检查密码过期时间
    编辑：vi /etc/login.defs 设置 PASS_MAX_DAYS=90（等号要记得写），时间要小于等于90

检查密码创建要求是否配置
    vi /etc/pam.d/common-password , 修 改 或 配 置 password requisite pam_cracklib.so retry=3 minlen=8 minclass=3

    vi /etc/pam.d/system-auth,password requisite pam_cracklib.so try_first_pass retry=3 minlen=8 minclass=3

    vi /etc/login.defs,修改或配置 PASS_MIN_LEN=8，设置为大于等于 8

    vi /etc/pam.d/system-auth,启动 pam_passwdqc.so 模块

检查是否禁止匿名 FTP
    vi /etc/vsftpd.conf,配置修改 anonymous_enable=NO

    vi /etc/vsftpd/vsftd.conf,配置修改 anonymous_enable=NO 作者：李慕忱LiMuC https://www.bilibili.com/read/cv20995539 出处：bilibili