账号管理
管理账号
|
实施目的 |
根据不同类型用途设置不同账号,提高系统安全 |
|
安全风险 |
账号混淆,权限不明确,存在用户越权使用的可能。 |
|
系统当前状态 |
cat /etc/passwd 记录当前用户列表 |
|
实施步骤 |
为用户创建账号: #useradd username #创建账号 #passwd username #设置密码 修改权限: #chmod 750 directory #其中 755 为设置的权限,可根据实际情况设置相应的权限,directory 是要更改权限的目录如/home/heyi 使用该命令为不同的用户分配不同的账号,设置不同的口令及权限信息等。 |
|
回退方案 |
删除新增加的帐户 |
|
判断依据 |
标记用户用途,定期建立用户列表,比较是否有非法用户 |
管理默认账号权限
|
实施目的 |
1、删除系统不需要的默认帐号 2、更改危险帐号缺省的 shell 变量 |
|
安全风险 |
允许非法利用系统默认账号 |
|
系统当前状态 |
cat /etc/passwd 记录当前用户列表 cat /etc/shadow 记录当前密码配置 |
|
实施步骤 |
参考配置操作: # userdel lp # groupdel lp 如果下面这些系统默认帐号不需要的话,建议删除。 lp, sync, shutdown, halt, news, uucp, operator, games, gopher 实施步骤: 1、检查系统帐号的 shell 变量,例如 aemon,bin,sys、adm、lp、 uucp、nuucp、smmsp 、uucp、ftp、news 等,还有一些仅仅需要 FTP 功能的帐号,不能设置/bin/bash 或者/bin/sh 等 Shell 变量。 2、在/etc/passwd 中将它们的 shell 变量设为/bin/false 或者/dev/null 或/sbin/nologin等. 也可以使用usermod -s /dev/null username 命令来更改 shell |
|
回退方案 |
恢复账号或者 SHELL |
|
判断依据 |
如上述用户不需要,则锁定。 |
禁止root权限远程登录
|
实施目的 |
1、限制具备超级管理员权限的用户远程登录。 2、需远程执行管理员权限操作,应先以普通权限用户远程登录后,再切换到超级管理员权限账号。 |
|
安全风险 |
允许 root 远程非法登陆,存在root账号被暴力破解危险 |
|
系统当前状态 |
cat /etc/ssh/sshd_config cat /etc/securetty |
|
实施步骤 |
参考配置操作 #vi /etc/ssh/sshd_config 修改PermitRootLogin yes改为PermitRootLogin no 重启 sshd 服务 #service sshd restart 在/etc/securetty文件中配置:CONSOLE = /dev/tty01 |
|
回退方案 |
还原配置文件 /etc/ssh/sshd_config |
|
判断依据 |
/etc/ssh/sshd_config 中 PermitRootLogin no |
检查空口令账号
|
编号 |
|
|
名称 |
检查空口令账号 |
|
实施目的 |
禁止空口令用户 |
|
安全风险 |
用户直接登录系统 |
|
系统当前状态 |
cat /etc/passwd awk -F: ‘($2 == “”){print $1}’ /etc/passwd awk -F: ‘($2 == “”){print $1}’ /etc/passwd |
|
实施步骤 |
用 root 用户登陆 Linux 系统,执行 passwd 命令,给用户增加口令。 |
|
回退方案 |
Root 身份设置用户口令,取消口令 注意:如有口令策略则失败 |
|
判断依据 |
Cat /etc/passwd |
检查特权账号
|
实施目的 |
检查是否存在除 root 之外 UID 为 0 的用户 |
|
安全风险 |
账号权限过大,容易被非法利用 |
|
系统当前状态 |
awk -F: ‘($3 == 0) { print $1 }’ /etc/passwd |
|
实施步骤 |
删除 root 以外的 UID 为0 的用户 |
|
回退方案 |
无 |
|
判断依据 |
返回值包括“root”以外的条目,则低于安全要求 |
口令管理
修改口令策略
|
实施目的 |
防止系统弱口令的存在,减少安全隐患。对于采用静态口令认证技术的设备,口令长度至少 8 位。 |
|
安全风险 |
弱口令增加密码被暴力破解的成功率 |
|
系统当前状态 |
cat /etc/login.defs |
|
实施步骤 |
# vi /etc/login.defs 将配置参数修改成如下内容: PASS_MAX_DAYS 99999 PASS_MIN_DAYS 0 PASS_MIN_LEN 8 PASS_WARN_AGE 7 注:实际工作中发现修改密码生存时间后容易照成管理员遗忘密码,因此本次加固不做强制要求。 |
|
回退方案 |
vi /etc/login.defs ,修改设置到系统加固前状态。 |
|
判断依据 |
cat /etc/login.defs查看默认口令策略 |
文件与授权
关键目录权限
|
实施目的 |
在设备权限配置能力内,根据用户的业务需要,配置其所需的最小权限。 |
|
安全风险 |
非法访问文件 |
|
系统当前状态 |
运行 ls –al /etc/ 记录关键目录的权限 |
|
实施步骤 |
1、参考配置操作 通过 chmod 命令对目录的权限进行实际设置。 2、补充操作说明 默认下述文件权限如下,如不正确应修改: /etc/passwd –rw-r—r— /etc/shadow –r——– /etc/group –rw-r—r— 使用如下命令设置: chmod 644 /etc/passwd chmod 600 /etc/shadow chmod 644 /etc/group 3、其他文件权限待补充 |
|
回退方案 |
通过 chmod 命令还原目录权限到加固前状态。 |
|
判断依据 |
[root@test1 ~]# ls -al /etc/passwd | grep ‘^…-.–.–‘ -rw-r–r– 1 root root 1611 Jul 15 00:27 /etc/passwd [root@test1 ~]# ls -al /etc/group | grep ‘^…-.–.–‘ -rw-r–r– 1 root root 671 Jul 15 00:27 /etc/group [root@test1 ~]# ls -al /etc/shadow | grep ‘^…——-‘ -r——– 1 root root 1000 Jul 15 00:36 /etc/shadow |
默认文件权限
|
实施目的 |
控制用户默认创建文件和目录访问权限,防止同属于该组的其它用户及其他组的用户修改该用户的文件 |
|
安全风险 |
非法访问目录 |
|
系统当前状态 |
more /etc/profile more /etc/csh.login more /etc/csh.cshrc more /etc/bashrc 检查是否包含 umask 值 |
|
实施步骤 |
1、参考配置操作 设置默认权限: vi /etc/profile vi /etc/csh.login vi /etc/csh.cshrc vi /etc/bashrc 在末尾增加 umask 027 |
|
回退方案 |
修改为加固前状态 more /etc/profile more /etc/csh.login more /etc/csh.cshrc more /etc/bashrc |
|
判断依据 |
umask 是否为027还是默认的022 |
用户资源限制
|
实施目的 |
限制用户对系统资源的使用,避免拒绝服务(如:创建很多个进程、消耗系统的内存,等等) |
|
安全风险 |
拒绝服务攻击 |
|
系统当前状态 |
Cat /etc/security/limits.conf Cat /etc/pam.d/login |
|
实施步骤 |
1、参考配置操作 Ø 第一步 编辑“limits.conf”文件(vi /etc/security/limits.conf),添加需要限制的普通用户,格式如下: @heyi soft core 0 @heyi hard nproc 30 @heyi maxlogins 5 “core 0”表示禁止创建 core 文件; “nproc 30”把最多进程数限制到 30; “maxlogins”表示此用户最多登录数 Ø 第二步 检查“/etc/pam.d/login”文件,pam_limits.so配置是否如下: session required /lib/security/pam_limits.so |
|
回退方案 |
/etc/pam.d/login 恢复加固前状态 |
|
判断依据 |
/etc/security/limits.conf是否定义了对用户的限制 |
|
备注 |
会限制账号所用资源,不要配置应用服务账号 |
设置关键文件属性
|
实施目的 |
增强关键文件的属性,减少安全隐患 使轮循的 messages 文件不可更改 |
|
安全风险 |
非法访问目录,或者删除日志风险 |
|
系统当前状态 |
# lsattr /var/log/messages # lsattr /var/log/messages.* # lsattr /etc/shadow # lsattr /etc/passwd # lsattr /etc/group |
|
实施步骤 |
1、参考配置操作 # chattr +a /var/log/messages # chattr +i /var/log/messages.* # chattr +i /etc/shadow # chattr +i /etc/passwd # chattr +i /etc/group 建议管理员对关键文件进行特殊设置(不可更改或只能追加等) 建议此项在建完账号后用,避免报错。 |
|
回退方案 |
使用 chattr 命令还原被修改权限的目录。 |
|
判断依据 |
# lsattr /var/log/messages # lsattr /var/log/messages.* # lsattr /etc/shadow # lsattr /etc/passwd # lsattr /etc/group 判断上述文件属性 |
Su权限控制
|
实施目的 |
避免任何人可以 su 为 root,减少安全隐患。 |
|
安全风险 |
用户提权 |
|
系统当前状态 |
Cat /etc/pam.d/su |
|
实施步骤 |
1、参考配置操作 编辑vi
/etc/pam.d/su 增加或修改下述配置: auth sufficient pam_rootok.so auth required pam_wheel.so use_uid 这表明只有 wheel 组的成员可以使用 su 命令成为 root 用户。可以将需要用su用户添加到 wheel 组 root 用户。添加方法为: # chmod
–G10 username |
|
回退方案 |
恢复/etc/pam.d/su
到加固前状态。 |
|
判断依据 |
Cat
/etc/pam.d/su |
|
备注 |
不适合游戏口袋环境 |
Windows故障转移群集最佳实践
评论前必须登录!
注册