Centos安全加固方案（1）

1、用户帐号和环境

1.1、验证账号情况

awk -F: ‘($2 == “”) { print $1 }’ /etc/shadow

awk -F: ‘($3 == 0) { print $1 }’ /etc/passwd
 
 ###任何UID为0的账号在系统上都具有超级用户权限.

1.2、密码长度与有效期

默认配置：

[root@localhost ~]# cat /etc/login.defs |grep PASS_ |grep -v '#' PASS_MAX_DAYS 99999 PASS_MIN_DAYS 0 PASS_MIN_LEN 5 PASS_WARN_AGE 7

加固方案:

1.备份配置文件：
# cp -a /etc/login.defs /etc/login.defs.default
2.编辑配置文件并将相关参数改成如下
# vi /etc/login.defs PASS_MAX_DAYS 90 PASS_MIN_DAYS 6 PASS_MIN_LEN 8 PASS_WARN_AGE 30

备注:

/etc/login.defs文件的pass_min_len 参数并不具备强制性，测试仍然可以设置7位密码。最终需要cracklib来实现。

参数说明：

PASS_MAX_DAYS 密码有效期

PASS_MIN_DAYS 修改密码的最短期限

PASS_MIN_LEN 密码最短长度

PASS_WARN_AGE 密码过期提醒

1.3、密码复杂度

默认配置:

[root@localhost ~]# cat /etc/pam.d/system-auth | grep  "pam_pwquality.so try_first_pass local_users_only retry=3 authtok_type=" password    requisite     pam_pwquality.so try_first_pass local_users_only retry=3 authtok_type=

加固方案:

1.备份配置文件： # cp -a /etc/pam.d/system-auth /etc/pam.d/system-auth.default 
2.编辑配置文件 # vi /etc/pam.d/system-auth 将password    requisite     pam_pwquality.so try_first_pass local_users_only retry=3 authtok_type=
 注释并在其下面新增1行 password requisite pam_cracklib.so try_first_pass minlen=8 difok=5 dcredit=-1 lcredit=-1 ocredit=-1 retry=1 type= 
3.保存配置文件

备注:

try_first_pass而当pam_unix验证模块与password验证类型一起使用时，该选项主要用来防止用户新设定的密码与以前的旧密码相同。

minlen=8：最小长度8位

difok=5:新、旧密码最少5个字符不同

dcredit=-1：最少1个数字

lcredit=-1：最少1个小写字符，（ucredit=-1:最少1个大写字符)

ocredit=-1：最少1个特殊字符

retry=1:1次错误后返回错误信息

type=xxx：此选项用来修改缺省的密码提示文本

1.4、新口令不能与4个最近使用的相同

默认配置:

[root@localhost ~]# cat /etc/pam.d/system-auth |grep use_authtok password sufficient pam_unix.so sha512 shadow nullok try_first_pass use_authtok

加固方案:

1.备份配置文件 
2.编辑配置文件： # vi /etc/pam.d/system-auth 在password    sufficient    pam_unix.so sha512 shadow nullok try_first_pass use_authtok 所在行的后面添加 remember=5 
3.保存配置文件
备注:
记住5个历史密码

1.5、设置会话超时（5分钟）

默认配置:

无

加固方案:

cp -a /etc/profile /etc/profile.default 
 echo "export TMOUT=300 " >>/etc/profile

1.备份配置文件： # cp -a /etc/profile /etc/profile.default

2.编辑配置文件： vi /etc/profile 在文件的末尾添加参数 export TMOUT=300

3.保存配置文件

1.6、防止IP SPOOF：

echo "nospoof on" >> /etc/host.conf

1.7、限制能够su为root 的用户

在文件头部添加下面这样的一行

 auth required pam_wheel.so use_uid
这样，只有wheel组的用户可以su到root 

 操作样例：

 #usermod -G10 test 将test用户加入到wheel组