整理下以前的笔记。可能分类不准,也可能不太全,不过自己感觉实际中做完这些配置应该没多大问题!也希望有小伙伴能指出问题,共同学习!
1.检查是否存在除root之外UID为0的用户
awk -F: '($3 == 0) { print $1 }' /etc/passwd
返回值包括root以外的条目,则低于安全要求2.用户口令设置
more /etc/login.defs #检查以下参数
PASS_MAX_DAYS 90 #新建用户的密码最长使用天数
PASS_MIN_DAYS 0 #新建用户的密码最短使用天数
PASS_WARN_AGE 7 #新建用户的密码到期提前提醒天数3.检查空口令用户
awk -F: '($2 == "") { print $1 }' /etc/shadow4.口令强度
检查/etc/pam.d/system-auth文件中是否对pam_cracklib.so的参数进行了正确设置
添加password requisite pam_cracklib.so difok=3 minlen=8 ucredit=-1 lcredit=-1 dcredit=1
意思是至少8位,包含一位大写字母、一位小写字母、一位数字5.用户锁定
检查/etc/pam.d/system-auth文件中是否对pam_tally.so的参数进行了正确设置
添加auth required pam_tally.so onerr=fail deny=10 unlock_time=300
意思输错10次锁定5分钟6.对系统账户限制登陆
vim /etc/passwd
例如:lynn:x:500:500::/home/lynn:/sbin/bash 修改为 lynn:x:500:500::/home/lynn:/sbin/nologin
touch /etc/nologin 禁止所有用户登陆7.限制能够su为root的用户
cat /etc/pam.d/su,查看是否有auth required /lib/security/pam_wheel.so这样的配置
在头部添加auth required /lib/security/pam_wheel.so group=wheel只有wheel组的用户可以su到root8.注释掉所有答应root远程登录的控制台
编辑/etc/securetty,注释掉所有答应root远程登录的控制台,然后禁止使用所有的控制台程
序,其命令如下:
例如:rm -f /etc/security/console.apps/servicename