RedHat linux系统加固 作者:黑小子

检查是否配置ntp服务:

备份cp /etc/ntp.conf /etc/ntp.conf.bal1105

编辑vi /etc/ntp.conf

插入restrict 192.168.1.0 mask 255.255.255.0 nomodify notrap

启动ntpd服务:service ntpd start

检查口令策略设置是否符合复杂度要求

cp -p /etc/pam.d/system-auth /etc/pam.d/system-auth_bak

vi /etc/pam.d/system-auth可使用pam pam_cracklib module或pam_passwdqc module实现密码复杂度,两者不能同时使用

password requisite pam_cracklib.so dcredit=-1 ucredit=-1 lcredit=-1 ocredit=-1 minclass=2 minlen=8password sufficient pam_unix.so md5 shadow nullok try_first_pass use_authtok

检查登录提示-是否设置登录成功后警告Banner

修改文件/etc/motd的内容,如没有该文件,则创建它。

#echo " Authorized users only. All activity may be monitored and reported " > /etc/motd

检查口令锁定策略

执行备份:#cp -p /etc/pam.d/system-auth /etc/pam.d/system-auth_bak

修改策略设置:#vi /etc/pam.d/system-auth增加auth required pam_tally2.so deny=6 onerr=fail no_magic_root unlock_time=120到第二行。

使配置生效需重启服务器。

检查主机访问控制(IP限制)

执行备份:#cp -p /etc/hosts.allow /etc/hosts.allow_bak#cp -p /etc/hosts.deny /etc/hosts.deny_bak

vim /etc/hosts.allow #插入all:*.*.*.*:allow

vim /etc/hosts.deny #插入sshd:555.555.555.555:DENY

检查口令生存周期要求

cp -p /etc/login.defs /etc/login.defs_bak

修改策略设置:#vi /etc/login.defs修改PASS_MIN_LEN的值为5,修改PASS_MAX_DAYS的值为90,按要求修改PASS_MIN_DAYS/PASS_WARN_AGE的值,保存退出配置完成结果如下:#PASS_MAX_DAYS 90PASS_MIN_DAYS 0PASS_MIN_LEN 5PASS_WARN_AGE 7

检查是否禁止匿名ftp

修改/etc/vsftpd/vsftpd.conf

在配置文件中添加行:anonymous_enable=NO

重启vsftpd服务 service vsftpd restart

检查FTP配置-限制FTP用户登录后能访问的目录

修改/etc/vsftpd/vsftpd.conf

确保以下行未被注释掉,如果没有该行,请添加:chroot_local_user=YES

重启vsftpd服务 service vsftpd restart 重启网络服务# /etc/init.d/xinetd restart

检查是否配置远程日志保存

备份cp -p /etc/rsyslog.conf /etc/rsyslog.conf_bak 编辑vim /etc/rsyslog.conf

插入*.*(Tab) @192.168.0.1

重启/etc/init.d/rsyslog stop /etc/init.d/rsyslog start

2017.03.03
来源:www.antivirus-china.org.cn
0
热门推荐 更多
热点新闻 更多