首页 » 系统安全 » Linux/Unix » Red Hat Enterprise Linux » 正文

Redhat 6.X 系统安全加固配置

1.账号安全


1.1 账号共享

说明:应按照不同的用户分配不同的账号,避免不同用户间共享账号,避免用户账号和设备间通信使用的账号共享。

自查命令:

cat /etc/shadow
cat /etc/passwd

参考配置:

使用如下命令为不同的用户分配不同的账号,设置不同的口令及权限信息等。
(1)为用户创建账号:
    #useradd username  #创建账号
    #passwd username   #设置密码
(2)修改权限:
    #chmod 750 directory  #其中750为设置的权限,可根据实际情况设置相应的权限,directory是要更改权限的目录或文件

1.2 删除锁定无关账号

说明:应删除或锁定与运行、维护等工作无关的账号。

自查命令:

cat /etc/passwd
cat /etc/shadow

参考配置:

1、参考配置
(1)删除用户:#userdel username;
(2)锁定用户:#passwd -l username;无shell或shell为sbin/nologin
(3)解锁用户:#passwd -u username
(4)禁止用户交互登录:修改/etc/passwd文件,用户shell修改为/sbin/nologin
2、补充说明
 需要锁定的账号:adm、lp、sync、shutdown、halt、mail、news、uucp、operator、games、gopher、ftp、mailnull、nfsnobody、pegasus、http

1.3 建立多账户组

说明:根据系统要求及用户的业务需求,建立多帐户组,将用户账号分配到相应的帐户组。

自查命令:

cat /etc/group

参考配置:

1、参考配置
(1)创建帐户组:
    #groupadd –g GID groupname        #创建一个组,并为其设置GID号,若不设GID,系统会自动为该组分配一个GID号;
    #usermod –g group username        #将用户username分配到group组中。
可以根据实际需求使用如上命令进行设置。
2、补充操作说明
(1)当group_name字段长度大于八个字符,groupadd命令会执行失败;
(2)当用户希望以其他用户组成员身份出现时,需要使用newgrp命令进行更改,如:#newgrp sys 即把当前用户以sys组身份运行;

1.4 限制远程登录

说明:限制具备超级管理员权限的用户远程登录。远程执行管理员权限操作,应先以普通权限用户远程登录后,再切换到超级管理员权限账号后执行相应操作。

自查命令:

cat /etc/ssh/sshd_config
cat /etc/securetty

参考配置:

1、参考配置
(1)限制root用户远程登录。
  修改文件/etc/ssh/sshd_config配置
    PermitRootLogin no 
  修改文件/etc/securetty 配置
    pts/*
   *为1、2、3、4、5.....
 (2)重启sshd服务。

2口令安全


2.1 密码生存期

说明:对于采用静态口令认证技术的设备,帐户口令的生存期不长于90天。

自查命令:

cat /etc/login.defs

参考配置:

1、参考配置
(1)设置密码生存周期
 修改文件/etc/login.defs,配置如下内容:
    PASS_MAX_DAYS=90

2.2 最小权限配置

说明:在设备权限配置能力内,根据用户的业务需要,配置其所需的最小权限。

自查命令:

ls -l /etc/passwd
ls -l /etc/shadow
ls -l /etc/group

参考配置:

1、参考配置
(1)通过chmod 命令对目录的权限进行实际设置
    #chmod 644 /etc/passwd
    #chown root:root /etc/passwd
    #chmod 400 /etc/shadow
    #chown root:root /etc/shadow
    #chmod 644 /etc/group
    #chown root:root /etc/group

2.3 FTP访问

说明:控制FTP进程缺省访问权限,当通过FTP服务创建新文件或目录时应屏蔽掉新文件或目录不应有的访问允许权限。

自查命令:

cat /etc/ftpusers
注:首先检查系统是否存在ftp进程,使用命令
ps -elf|grep ftp

参考配置:

1、参考配置
(1)限制某些系统帐户不准ftp登录,修改/etc/ftpusers文件,增加帐户:
adabas、amanda、at、bin、cyrus、daemon、dbmaker、db2fenc1、db2inst1、db2as、db4web、dpbox、empress、fax、firewall、fnet、games、gdm、gnats、irc、informix、ingres、ixess、lnx、lp、mail、man、mdom、mysql、named、news、nobody、nps、oracle、perforce、pop、postfix、postgres、root、sapdb、skyrix、squid、uucp、virtuoso、vscan、wnn、wwwrun、yard、zope

2.4 用户缺省权限

说明:控制用户缺省访问权限,当在创建新文件或目录时 应屏蔽掉新文件或目录不应有的访问允许权限。防止同属于该组的其它用户及别的组的用户修改该用户的文件或更高限制。

自查命令:

cat /etc/login.defs

参考配置:

1、参考配置
(1)设置默认权限:
修改文件/etc/login.defs,配置“UMASK 027”
2、补充操作说明
(1)根据实际情况修改文件或目录的权限。
(2)如果用户需要使用一个不同于默认全局系统设置的umask,可以在需要的时候通过命令行设置,或者在用户的shell启动文件中配置。

3服务安全


3.1 远程维护

说明:对于使用IP协议进行远程维护的设备,设备应配置使用SSH等加密协议,并安全配置SSHD的设置。

自查命令:

ps -elf|grep ssh
ps -elf|grep telnet

参考配置:

1、参考配置
(1)启用SSH的命令:#/etc/init.d/sshd start
(2)禁用Telnet的命令:修改文件/etc/xinetd.d/telnet,将disable的值改为yes

3.2 关闭服务

说明:关闭不必要的服务。

自查命令:

chkconfig --list
cat /etc/inittab

参考配置:

1、参考配置
(1)关闭服务
    #chkconfig --level 3 servername off
    #chkconfig --level 5 servername off
2、补充操作说明
(1)建议关闭的服务有:daytime、time、echo、discard、chargen、sendmail、ntalk、ident、printer、bootps、tftp、kshell、klogin、lpd、nfs、nfs.lock、ypbind

4.日志与审计


4.1 系统日志权限

说明:系统日志文件由syslog创立并且不可被其他用户修改,其它的系统日志文件不是全局可写。

自查命令:

ls -l /var/
ls -l /var/log/cron

参考配置:

1、参考配置 
(1)修改文件权限,执行如下命令:
    #chmod 640 -R /var/log/
(2)建立日志文件,如下命令:
    #touch /var/log/cron
    #chown root:system /var/log/cron
(3)配置日志文件权限,如下命令:
    #chmod 600 /var/log/cron

4.2 日志检查

说明:配置日志检查。

自查命令:

cat /etc/syslog.conf

参考配置:

一、启用syslog系统日志审计功能。
1、参考配置
(1)修改/etc/syslog.conf,添加如下一行:
    authpriv.*    /var/log/secure(中间的分隔符是tab)
(2)重启syslog服务
    #/etc/init.d/syslog restart
2、补充操作说明
(1)将authpirv设备的任何级别的信息记录到/var/log/secure文件中,主要是一些和认证、权限使用相关的信息。

二、设备应配置日志功能,记录对与设备相关的安全事件。
参考配置
(1)设置日志记录功能
修改文件/etc/syslog.conf,配置如下类似语句:
    *.err;kern.debug;daemon.notice;        /var/log/messages
定义为需要保存的设备相关安全事件。
(2)重启syslog服务
    #/etc/init.d/syslog restart 

三、启用记录cron行为日志功能。
参考配置
(1)配置对cron行为进行审计:
修改文件/etc/syslog.conf,设置如下内容:
   cron.*     /var/log/cron(中间分隔符为tab)
(2)重启syslog服务
    #/etc/init.d/syslog restart

5设备配置


5.1 屏幕保护配置

说明:对于具备字符交互界面的设备,配置定时帐户自动登出

自查命令:

cat /etc/profile

参考配置:

1、参考配置
(1)设置定时账户自动登出时间
修改/etc/profile文件,设置如下内容:
    export TMOUT=180;export TMOUT

6其它安全配置


6.1 修改系统banner

说明:修改系统banner,避免泄漏操作系统名称,版本号,主机名称等,并且给出登陆告警信息。

自查命令:

cat /etc/motd

参考配置:

1、参考配置
(1)修改文件/etc/motd,如文件不存在则创建它,按实际情况填写banner信息,如:
    Authorized users only.All activity may be monitored and reported.

6.2 禁止root用户登录FTP

说明:禁止root登陆FTP。

自查命令:

cat /etc/ftpusers

参考配置:

1、参考配置
(1)在文件/etc/ftpusers中增加超级用户。
(2)重启FTP服务

6.3 修改FTP banner

说明:修改FTP banner 信息。

自查命令:

cat /etc/vsftpd/vsftpd.conf

参考配置:

1、参考配置
(1)使用vsftpd,则修改文件:/etc/vsftpd/vsftpd.conf,添加如下内容:
    ftpd_banner="Authorized users only.All activity may be monitored and reported."
(2)使用pure-ftpd,则修改文件:/etc/pure-ftpd/pure-ftpd.conf,添加如下内容:
    FortunesFile    /usr/share/fortune/zippy
同时修改/usr/share/fortune/zippy文件,内容参考如下:
    Authorized users only.All activity may be monitored and reported.

6.4 防护软件

说明:启用自带防火墙或安装第三方威胁防护软件。根据业务需要限定允许访问网络的应用程序,和允许远程登陆该设备的IP地址范围。

自查命令:

cat /etc/sysconfig/iptables
chkconfig --list

参考配置:

1、参考配置
修改/etc/sysconfig/iptables文件设置iptables策略
修改后使用
/etc/init.d/iptables restart
命令重启iptables

6.5 关闭不必要的端口

说明:应根据业务需要,仅开放必要的端口,其余端口需关闭。

自查命令:

netstat -an

参考配置:

1、参考配置
列出必要的端口,从公网确认端口开放情况,关闭不必要的端口。

6.6 删除威胁文件

说明:.rhosts,hosts.equiv等文件都具有潜在的危险,如果没有应用,建议删除。

自查命令:

find / -name .rhosts
find /etc -name hosts.equiv

参考配置:

1、参考配置
(1)检查系统中是否有.rhosts文件
    #find / -name .rhosts
(2)检查系统中是否有hosts.equiv文件
    #find /etc -name hosts.equiv
(3)如无应用,在相关文件目录下,删除以上文件:
    #mv .rhosts .rhosts.bak 
    #mv hosts.equiv hosts.equiv.bak

发表评论