Linux操作系統(tǒng)基線核查的方法有哪些

1

應(yīng)對(duì)登錄的用戶進(jìn)行身份標(biāo)識(shí)和鑒別，身份標(biāo)識(shí)具有唯一性，身份鑒別信息具有復(fù)雜度要求并定期更換；

密碼復(fù)雜度: 字母/數(shù)字/特殊符號(hào),不小于8位; 用戶密碼 5 次不能重復(fù)

vim /etc/pam.d/system-auth

auth required pam_tally2.so onerr=fail deny=3  unlock_time=1200even_deny_root root_unlock_time=1200

Auth sufficient pam_unix.so nullok try_first_pass remember=5

Password requisite pam_cracklib.so retry=3 difork=3 minlen=8 lcredit=-1 dcredit=-1 ocredit=-1

設(shè)置定期修改密碼時(shí)間

vim /etc/login.defs

PASS_MAX_DAYS   90

PASS_MIN_DAYS   0

PASS_MIN_LEN   8

PASS_WARN_AGE   7

2

應(yīng)具有登錄失敗處理功能，應(yīng)加固并啟用結(jié)束會(huì)話、限制非法登錄次數(shù)和當(dāng)?shù)卿涍B接超時(shí)自動(dòng)退出等相關(guān)措施；

設(shè)置連續(xù)輸錯(cuò)三次密碼，賬號(hào)鎖定五分鐘。

使用命令 vi /etc/pam.d/common-auth修改配置文件，在配置文件中添加 auth required pam_tally.so onerr=fail deny=3 unlock_time=300

3

當(dāng)進(jìn)行遠(yuǎn)程管理時(shí)，應(yīng)采取必要措施防止鑒別信息再網(wǎng)絡(luò)傳輸過程中被竊聽。

禁止使用telnet協(xié)議，可選用ssh協(xié)議進(jìn)行遠(yuǎn)程管理

利用命令rpm -qa |grep telnet查看是否安裝telnet 和telnet server 如果安裝的話
1、編輯/etc/xinetd.d/telnet, 修改 disable = yes。
2.激活xinetd服務(wù)。命令如下：
# service xinetd restart
如果沒安裝則說明禁用telnet服務(wù)；

對(duì)于使用IP協(xié)議進(jìn)行遠(yuǎn)程維護(hù)的設(shè)備,應(yīng)配置使用SSH協(xié)議

在網(wǎng)站上免費(fèi)獲取OpenSSH http://www.openssh.com/,并根據(jù)安裝文件說明執(zhí)行安裝步驟

1

應(yīng)對(duì)登錄的用戶分配賬戶與權(quán)限；

查看是否存在root賬戶一號(hào)通用多用的情況，若存在，則需要建立若干符合實(shí)際情況的普通賬號(hào)，每個(gè)普通賬號(hào)都得遵循最小權(quán)限原則并且禁止直接使用root賬戶。

創(chuàng)建普通權(quán)限賬號(hào)并配置密碼,防止無法遠(yuǎn)程登錄;

使用命令 vi /etc/ssh/sshd_config修改配置文件將PermitRootLogin的值改成no，并保存，然后使用service sshd restart重啟服務(wù)。

2

應(yīng)重命名或刪除默認(rèn)賬戶，修改默認(rèn)賬戶的默認(rèn)口令；

查看空口令和root權(quán)限賬號(hào)，確認(rèn)是否存在異常賬號(hào)

使用命令 awk -F: '($2=="")' /etc/shadow 查看空口令賬號(hào)；

使用命令 awk -F: '($3==0)' /etc/passwd 查看UID為零的賬號(hào)；

使用命令 passwd <用戶名> 為空口令賬號(hào)設(shè)定密碼；

檢查是否存在除root之外UID為0的用戶。

3

應(yīng)及時(shí)刪除或停用多余的、過期的賬戶，避免共享賬戶的存在；

刪除用戶:#userdel username;
鎖定用戶：
#usermod -L username
只有具備超級(jí)用戶權(quán)限的使用者方可使用
#usermod –U username可以解鎖。
補(bǔ)充操作說明
需要鎖定的用戶：

adm,lp,mail,uucp,operator,games,gopher,ftp,nobody,nobody4,noaccess,listen,webservd,rpm,dbus,avahi,mailnull,smmsp,nscd,vcsa,rpc,rpcuser,nfs,sshd,pcap,ntp,haldaemon,distcache,apache,webalizer,squid,xfs,gdm,sabayon,named

4

用授予管理用戶所需的最小權(quán)限，實(shí)現(xiàn)管理用戶的權(quán)限分離

查看是否存在權(quán)限過大的用戶，是否能操作其應(yīng)當(dāng)訪問的范圍之外的系統(tǒng)資源。若存在，需要降低其權(quán)限，使其僅僅能操作應(yīng)當(dāng)訪問的系統(tǒng)資源。

創(chuàng)建普通權(quán)限賬號(hào)并配置密碼,防止無法遠(yuǎn)程登錄

限制root用戶直接登錄

使用命令 vi /etc/ssh/sshd_config修改配置文件將PermitRootLogin的值改成no，并保存，然后使用service sshd restart重啟服務(wù)。

限制能su到root的用戶

編輯su文件(vi /etc/pam.d/su)，在開頭添加下面兩行：
auth sufficient pam_rootok.so 和
auth required pam_wheel.so group=wheel 這表明只有wheel組的成員可以使用su命令成為root用戶。
你可以把用戶添加到wheel組，以使它可以使用su命令成為root用戶。
添加方法為：usermod –G wheel username

1

應(yīng)啟用安全審計(jì)功能，審計(jì)覆蓋到每個(gè)用戶，對(duì)重要的用戶行為和重要安全事件進(jìn)行審計(jì)；

啟用系統(tǒng)本身的syslog日志功能和auditd審計(jì)功能, 審計(jì)覆蓋到服務(wù)器及用戶的行為

記錄用戶的登錄與操作

vim /etc/profile

USER_IP=`who -u am i 2>/dev/null| awk '{print $NF}'|sed -e 's/[()]//g'`

if [ "$USER_IP" = "" ]

then

USER_IP=`hostname`

fi

if [ ! -d /tmp/dbasky ]

then

mkdir /tmp/dbasky

chmod  755 /tmp/dbasky

fi

if [ ! -d /tmp/dbasky/${LOGNAME} ]

then

mkdir /tmp/dbasky/${LOGNAME}

chmod 300 /tmp/dbasky/${LOGNAME}

fi

export HISTSIZE=4096

DT=`date "+%Y-%m-%d_%H-%M-%S"`

export HISTFILE="/tmp/dbasky/${LOGNAME}/${USER_IP}-dbasky.$DT"
export HISTTIMEFORMAT="[%Y.%m.%d %H:%M:%S]"
chmod 600 /tmp/dbasky/${LOGNAME}/*dbasky* 2>/dev/null

2

審計(jì)記錄應(yīng)包括事件的日期、用戶、事件類型、事件是否成功及其它與審計(jì)相關(guān)的信息；

查看審計(jì)內(nèi)容，是否包含事件的日期、用戶、事件類型、事件是否成功等關(guān)鍵信息

3

應(yīng)對(duì)審計(jì)記錄進(jìn)行保護(hù)，定期備份，避免受到未預(yù)期的刪除、修改或覆蓋等。

更改所有日志文件屬性，使文件只可追加不可修改：

Chattr +a /var/log/messages  /var/log/secure /var/log/maillog  /var/log/cron

定期導(dǎo)出備份，審計(jì)記錄至少保留6個(gè)月以上

1

應(yīng)遵循最小安裝的原則，僅安裝需要的組件和應(yīng)用程序；

遵循最小安裝原則，禁止“夾帶”現(xiàn)象

2

應(yīng)關(guān)閉不需要的系統(tǒng)服務(wù)、默認(rèn)共享和高危端口；

查看監(jiān)聽端口

Netstat -an

查看開啟服務(wù)

Chkconfig -list |grep on

要直接關(guān)閉某個(gè)服務(wù)，如sshd可用如下命令:
# /etc/init.d/sshd stop #關(guān)閉正在運(yùn)行的sshd服務(wù)

關(guān)閉下列不必要的基本網(wǎng)絡(luò)服務(wù)。
chargen-dgram daytime-stream echo-streamklogin tcpmux-server chargen-stream discard-dgram eklogin krb5-telnet tftp cvs discard-stream ekrb5-telnet kshell time-dgram daytime-dgram echo-dgram gssftp rsync time-stream

3

應(yīng)通過設(shè)定終端接入方式或網(wǎng)絡(luò)地址范圍對(duì)通過網(wǎng)絡(luò)進(jìn)行管理的管理終端進(jìn)行限制；

通過vpn連接內(nèi)網(wǎng)環(huán)境，再利用堡壘機(jī)進(jìn)行統(tǒng)一管理登錄

1

應(yīng)安裝防惡意代碼軟件或加固具有相應(yīng)功能的軟件，并定期進(jìn)行升級(jí)和更新防惡意代碼庫(kù)；

查看當(dāng)前殺毒軟件，記錄版本，是否升級(jí)為最新

1

應(yīng)提供重要數(shù)據(jù)的本地?cái)?shù)據(jù)備份與恢復(fù)功能；

查看是否有備份文件，以及了解備份機(jī)制和恢復(fù)機(jī)制

若無，需要建立備份文件，進(jìn)行每日增量、每周全量的備份策略。

2

應(yīng)提供異地?cái)?shù)據(jù)備份功能，利用通信網(wǎng)絡(luò)將重要數(shù)據(jù)定時(shí)批量傳送至備用場(chǎng)地。

將備份文件存放異地且確保其有效性，避免出現(xiàn)單點(diǎn)故障后不具備恢復(fù)的風(fēng)險(xiǎn)。

1

應(yīng)確保系統(tǒng)磁盤根分區(qū)已使用空間維持在80%以下。

如果磁盤動(dòng)態(tài)分區(qū)空間不足，建議管理員擴(kuò)充磁盤容量

2

應(yīng)設(shè)置命令行界面超時(shí)退出

以root賬戶執(zhí)行，vi /etc/profile,增加 export TMOUT=600(單位：秒，可根據(jù)具體情況設(shè)定超時(shí)退出時(shí)間，要求不小于600秒),注銷用戶，再用該用戶登錄激活該功能

3

應(yīng)限制遠(yuǎn)程登錄IP范圍

檢查/etc/hosts.allow配置

編輯/etc/hosts.allow
增加一行 <service>: 允許訪問的IP；舉例如下：
all:192.168.4.44:allow #允許單個(gè)IP；
sshd:192.168.1.:allow #允許192.168.1的整個(gè)網(wǎng)段的PC通過SSH來訪問本機(jī)
重啟進(jìn)程：
#/etc/init.d/xinetd restart

檢查/etc/hosts.deny配置

編輯/etc/hosts.deny
增加一行 all:all
重啟進(jìn)程：
#/etc/init.d/xinetd restart

4

應(yīng)配置用戶所需最小權(quán)限

配置/etc/passwd文件權(quán)限

chmod 644 /etc/passwd

配置/etc/group文件權(quán)限

chmod 644 /etc/group

配置/etc/shadow文件權(quán)限

chmod 600 /etc/shadow