在给Linux系统进行安全加固的时候,可以参考下面的相关配置选项。
一.账号口令
编号 |
配置 |
1 |
检查是否设置口令更改最小间隔天数 |
2 |
检查口令最小长度 |
3 |
检查是否设置口令生存周期 |
4 |
检查是否存在空口令账号 |
5 |
检查是否设置口令过期前警告天数 |
6 |
检查设备密码复杂度策略 |
7 |
检查是否设置除root之外UID为0的用户 |
二.认证授权
编号 |
配置 |
1 |
用户目录缺省访问权限设置 |
2 |
用户umask设置 |
3 |
重要文件属性设置 |
4 |
设置ssh登录前警告Banner |
5 |
重要目录或文件权限设置 |
三.日志审计
编号 |
配置 |
1 |
安全事件日志配置 |
2 |
配置远程日志功能 |
3 |
对登录进行日志记录 |
4 |
配置su命令使用情况记录 |
5 |
记录用户对设备的操作 |
6 |
日志文件是否非全局可写 |
7 |
启用cron行为日志功能 |
四.协议安全
编号 |
配置 |
1 |
禁止匿名用户登录FTP |
2 |
禁止root用户登录FTP |
3 |
使用IP协议远程维护的设备是否配置SSH协议,禁用telnet协议 |
4 |
禁止root用户远程登录 |
5 |
修改snmp默认团体字 |
6 |
系统openssh安全配置 |
五.其他安全
编号 |
配置 |
1 |
设置命令行界面超时退出 |
2 |
关闭系统信任机制 |
3 |
关闭不必要的服务和端口 |
4 |
使用PAM认证模块禁止wheel组之外的用户su为root |
5 |
系统core dump设置 |
6 |
root用户的path环境变量 |
7 |
系统是否禁用ctrl+alt+del组合键 |
8 |
密码重复使用次数限制 |
9 |
设置系统引导管理器密码 |
10 |
系统磁盘分区使用率 |
11 |
日志文件权限设置 |
12 |
FTP用户上传的文件所具有的权限 |
13 |
/usr/bin/目录下可执行文件的拥有者属性 |
14 |
按用户分配账号 |
15 |
历史命令设置 |
16 |
限制FTP用户登录后能访问的目录 |
17 |
设置ssh成功登录后Banner |
18 |
NFS(网络文件系统)服务配置 |
19 |
关闭IP伪装和绑定多IP功能 |
20 |
拥有suid和sgid权限的文件 |
21 |
配置定时自动屏幕锁定(适用于具备图形界面的设备) |
22 |
按组进行账号管理 |
23 |
telnet Banner 设置 |
24 |
限制远程登录IP范围 |
25 |
安装chkrootkit进行系统监测 |
26 |
删除潜在危险文件 |
27 |
配置用户所需最小权限 |
28 |
系统内核参数配置 |
29 |
账户认证失败次数限制 |
30 |
关闭数据包转发功能(适用于不做路由功能的系统) |
31 |
安装OS补丁 |
32 |
删除与设备运行、维护等工作无关的账号 |
33 |
对系统账号进行登录限制 |
34 |
禁用不必要的系统服务 |
35 |
使用NTP(网络时间协议)保持时间同步 |
36 |
别名文件/etc/aliase(或/etc/mail/aliases)配置 |