- 检查是否配置ntp服务:
备份cp /etc/ntp.conf /etc/ntp.conf.bal1105
编辑vi /etc/ntp.conf
插入restrict 192.168.1.0 mask 255.255.255.0 nomodify notrap
启动ntpd服务:
service ntpd start - 检查口令策略设置是否符合复杂度要求
cp -p /etc/pam.d/system-auth /etc/pam.d/system-auth_bak
vi /etc/pam.d/system-auth
可使用pam pam_cracklib module或pam_passwdqc module实现密码复杂度,两者不能同时使用
password requisite pam_cracklib.so dcredit=-1 ucredit=-1 lcredit=-1 ocredit=-1 minclass=2 minlen=8
password sufficient pam_unix.so md5 shadow nullok try_first_pass use_authtok - 检查登录提示-是否设置登录成功后警告Banner
修改文件/etc/motd的内容,如没有该文件,则创建它。
#echo " Authorized users only. All activity may be monitored and reported " > /etc/motd - 检查口令锁定策略
执行备份:
#cp -p /etc/pam.d/system-auth /etc/pam.d/system-auth_bak
修改策略设置:
#vi /etc/pam.d/system-auth
增加auth required pam_tally2.so deny=6 onerr=fail no_magic_root unlock_time=120
到第二行。
使配置生效需重启服务器。 - 检查主机访问控制(IP限制)
执行备份:
#cp -p /etc/hosts.allow /etc/hosts.allow_bak
#cp -p /etc/hosts.deny /etc/hosts.deny_bak
vim /etc/hosts.allow #插入all:*.*.*.*:allow
vim /etc/hosts.deny #插入sshd:555.555.555.555:DENY - 检查口令生存周期要求
cp -p /etc/login.defs /etc/login.defs_bak
修改策略设置:
#vi /etc/login.defs
修改PASS_MIN_LEN的值为5,修改PASS_MAX_DAYS的值为90,按要求修改PASS_MIN_DAYS/PASS_WARN_AGE的值,保存退出
配置完成结果如下:#
PASS_MAX_DAYS 90
PASS_MIN_DAYS 0
PASS_MIN_LEN 5
PASS_WARN_AGE 7 - 检查是否禁止匿名ftp
修改/etc/vsftpd/vsftpd.conf
在配置文件中添加行:
anonymous_enable=NO
重启vsftpd服务 service vsftpd restart - 检查FTP配置-限制FTP用户登录后能访问的目录
修改/etc/vsftpd/vsftpd.conf
确保以下行未被注释掉,如果没有该行,请添加:
chroot_local_user=YES
重启vsftpd服务 service vsftpd restart 重启网络服务
# /etc/init.d/xinetd restart - 检查是否配置远程日志保存
备份cp -p /etc/rsyslog.conf /etc/rsyslog.conf_bak 编辑vim /etc/rsyslog.conf
插入*.*(Tab) @192.168.0.1
重启/etc/init.d/rsyslog stop /etc/init.d/rsyslog start - 检查是否设置登录超时
执行备份:
cp -p /etc/profile /etc/profile_bak
cp -p /etc/csh.cshrc /etc/csh.cshrc_bak
修改/etc/csh.cshrc文件,添加如下行:
set autologout=30
改变这项设置后,重新登录才能有效 - 检查登录提示-更改ftp警告Banner
vi /etc/vsftpd/vsftpd.conf
ftpd_banner=” Authorized users only. All activity may be monitored and reported.”
service vsftpd restart
重启服务: /etc/init.d/xinetd restart - 检查口令重复次数限制
执行备份:
#cp -p /etc/pam.d/system-auth /etc/pam.d/system-auth_bak
创建文件/etc/security/opasswd,并设置权限:
#touch /etc/security/opasswd
#chown root:root /etc/security/opasswd
#chmod 600 /etc/security/opasswd
修改策略设置:
#vi /etc/pam.d/system-auth
在password required pam_unix.so所在行增加remember=5,保存退出; - 检查帐号文件权限设置
cp -p /etc/passwd /etc/passwd_bak
cp -p /etc/shadow /etc/shadow_bak
cp -p /etc/group /etc/group_bak
chmod 0644 /etc/passwd
chmod 0400 /etc/shadow
chmod 0644 /etc/group - 检查FTP配置-设置FTP用户登录后对文件、目录的存取权限
修改/etc/vsftpd/vsftpd.conf - 确保以下行未被注释掉,如果没有该行,请添加:write_enable=YES ls_recurse_enable=YES
local_umask=022 //设置用户上传文件的属性为755
anon_umask=022 //匿名用户上传文件(包括目录)的 umask
只需增加ls_recurse_enable=YES
anon_umask=022)
重启vsftpd服务 service vsftpd restart
重启网络服务
/etc/init.d/xinetd restart - 检查FTP配置-限制用户FTP登录
备份#cp /etc/vsftpd/ftpusers /etc/vsftpd/ftpusers.bak #cp /etc/vsftpd/vsftpd.conf /etc/vsftpd/vsftpd.conf.bak
#vi /etc/vsftpd/ftpusers
增加: sys
adm
nuucp
noaccess
nobody4
vi /etc/vsftpd/vsftpd.conf 修改其中内容:
userlist_enable=YES userlist_deny=NO
重启vsftpd服务 service vsftpd restart - 检查是否关闭不必要服务
#chkconfig --list
禁止非必要服务:#chkconfig [service] off
开启服务为:#chkconfig [service] on
18.检查项名称:检查是否限制root远程登录
#cp -p /etc/securetty /etc/securetty_bak
#cp -p /etc/ssh/sshd_config /etc/ssh/sshd_config_bak
禁止root用户远程登录系统:
#vi /etc/securetty
注释形如pts/x的行,保存退出,则禁止了root从telnet登录。
#vi /etc/ssh/sshd_config
修改PermitRootLogin设置为no并不被注释,保存退出,则禁止了root从ssh登录。
#/etc/init.d/sshd restar
19.检查是否使用ssh替代telnet服务
备份 cp -p /etc/xinetd.d/telnet /etc/xinetd.d/telnet_bak
编辑 #vi /etc/xinetd.d/telnet
把disable项改为yes,即disable = yes
然后运行service xinetd restart,telnet就可以关闭掉了。
chkconfig telnet off 重点说明/etc/vsftpd/vsftpd.conf未添加anon_umask=022不合格
20.检查是否配置ntp
编辑ntp 的配置文件:
#vi /etc/ntp.conf
server IP地址(提供ntp服务的机器)
去掉下列行的注释
restrict 192.168.1.0 mask 255.255.255.0 nomodify notrap
启动ntp服务:
#service ntpd start 重启电脑系统后,需要重启服务
