在给Linux系统进行安全加固的时候,可以参考下面的相关配置选项。
一.账号口令
| 编号 |
配置 |
| 1 |
检查是否设置口令更改最小间隔天数 |
| 2 |
检查口令最小长度 |
| 3 |
检查是否设置口令生存周期 |
| 4 |
检查是否存在空口令账号 |
| 5 |
检查是否设置口令过期前警告天数 |
| 6 |
检查设备密码复杂度策略 |
| 7 |
检查是否设置除root之外UID为0的用户 |
二.认证授权
| 编号 |
配置 |
| 1 |
用户目录缺省访问权限设置 |
| 2 |
用户umask设置 |
| 3 |
重要文件属性设置 |
| 4 |
设置ssh登录前警告Banner |
| 5 |
重要目录或文件权限设置 |
三.日志审计
| 编号 |
配置 |
| 1 |
安全事件日志配置 |
| 2 |
配置远程日志功能 |
| 3 |
对登录进行日志记录 |
| 4 |
配置su命令使用情况记录 |
| 5 |
记录用户对设备的操作 |
| 6 |
日志文件是否非全局可写 |
| 7 |
启用cron行为日志功能 |
四.协议安全
| 编号 |
配置 |
| 1 |
禁止匿名用户登录FTP |
| 2 |
禁止root用户登录FTP |
| 3 |
使用IP协议远程维护的设备是否配置SSH协议,禁用telnet协议 |
| 4 |
禁止root用户远程登录 |
| 5 |
修改snmp默认团体字 |
| 6 |
系统openssh安全配置 |
五.其他安全
| 编号 |
配置 |
| 1 |
设置命令行界面超时退出 |
| 2 |
关闭系统信任机制 |
| 3 |
关闭不必要的服务和端口 |
| 4 |
使用PAM认证模块禁止wheel组之外的用户su为root |
| 5 |
系统core dump设置 |
| 6 |
root用户的path环境变量 |
| 7 |
系统是否禁用ctrl+alt+del组合键 |
| 8 |
密码重复使用次数限制 |
| 9 |
设置系统引导管理器密码 |
| 10 |
系统磁盘分区使用率 |
| 11 |
日志文件权限设置 |
| 12 |
FTP用户上传的文件所具有的权限 |
| 13 |
/usr/bin/目录下可执行文件的拥有者属性 |
| 14 |
按用户分配账号 |
| 15 |
历史命令设置 |
| 16 |
限制FTP用户登录后能访问的目录 |
| 17 |
设置ssh成功登录后Banner |
| 18 |
NFS(网络文件系统)服务配置 |
| 19 |
关闭IP伪装和绑定多IP功能 |
| 20 |
拥有suid和sgid权限的文件 |
| 21 |
配置定时自动屏幕锁定(适用于具备图形界面的设备) |
| 22 |
按组进行账号管理 |
| 23 |
telnet Banner 设置 |
| 24 |
限制远程登录IP范围 |
| 25 |
安装chkrootkit进行系统监测 |
| 26 |
删除潜在危险文件 |
| 27 |
配置用户所需最小权限 |
| 28 |
系统内核参数配置 |
| 29 |
账户认证失败次数限制 |
| 30 |
关闭数据包转发功能(适用于不做路由功能的系统) |
| 31 |
安装OS补丁 |
| 32 |
删除与设备运行、维护等工作无关的账号 |
| 33 |
对系统账号进行登录限制 |
| 34 |
禁用不必要的系统服务 |
| 35 |
使用NTP(网络时间协议)保持时间同步 |
| 36 |
别名文件/etc/aliase(或/etc/mail/aliases)配置 |