redhat7.2安全基线BI

(一)   Redhat linux7.2安全基线基本型（BI）

1.   密码复杂度策略

/etc/pam.d/system-auth文件中，增加内容

password requisite pam_cracklib.so ucredit=-1 lcredit=-1 dcredit=-1

(字体行距自己调整注：ucredit：大写字母个数；lcredit：小写字母个数；dcredit：数字个数；ocredit：特殊字符个数 )

2.   密码相关配置

vi /etc/login.defs  （修改如下）

PASS_MIN_DAYS 0

PASS_MAX_DAYS 90

PASS_MIN_LEN 8

PASS_WARN_AGE 7（更改显示错误）

3.   检查用户umask设置

检查文件/etc/profile中umask设置 077

检查文件/etc/csh.login中umask设置 077

检查文件/etc/csh.cshrc中umask设置 077

检查文件/etc/bashrc（或/etc/bash.bashrc）中umask设置 077  待改（我们默认022）

4.   检查是否设置除root之外UID为0的用户

cat /etc/passwd | awk 'BEGIN {FS=":";ORS=","} {if($1~/^[[:space:]]*[^#]/)if($1!="root")if($3=="0")print$1}'

5.   检查是否存在空口令账号

cat  /etc/shadow | awk 'BEGIN{FS=":";ORS=","}{if($2=="")print$1};'|more

6.   检查重要文件属性设置

检查/etc/gshadow文件属性

检查/etc/group文件属性

检查/etc/passwd文件属性

检查/etc/shadow文件属性

chattr +i /etc/gshadow

lsattr /etc/gshadow

7.   检查重要目录或文件权限设置

/etc/xinetd.conf未安装

chmod 600 /etc/security

chmod 644 /etc/services

chmod 750 /etc/rc1.d/

chmod 750 /etc/rc0.d

chmod 750 /etc/rc4.d

chmod 750 /etc/rc2.d

chmod 750 /etc/rc3.d

chmod 750 /etc/rc5.d

chmod 750 /etc/rc6.d

chmod 644 /etc/group

chmod 750 /etc/

chmod 750 /etc/rc.d/init.d

chmod 750 /tmp

chmod 644 /etc/passwd

chmod 400 /etc/shadow

8.   限制用户使用SU命令切换root

编辑 su 文件(vi /etc/pam.d/su)，在开头添加下面两行：

auth sufficient pam_rootok.so 和

auth required pam_wheel.so group=wheel

这表明只有 wheel 组的成员可以使用 su 命令成为 root 用户

添加方法为：

usermod –G wheel username

9.   删除潜在危险文件

删除用户 .netrc，.rhosts，.hosts.equiv 文件, 控制用户对资源的访问

l  执行命令find / -maxdepth 3 -name .netrc 2>/dev/null  （没有就跳过）

l  进入到.netrc文件存在的目录

l  执行命令：mv .netrc .netrc.bak

10. 检查历史命令设置

编辑文件/etc/profile，

修改HISTSIZE配置为5

HISTSIZE=5

11. 检查是否记录用户对设备的操作

通过设置日志文件可以对每个用户的每一条命令进行记录，这一功能默认是不开放的，为了打开它，需要安装pacct工具，并执行以下命令：

#touch /var/log/pacct

#accton /var/log/pacct

执行读取命令lastcomm [user name] -f /var/log/pacct

12. 检查安全事件日志配置

编辑/etc/rsyslog.conf

配置：

*.err;kern.debug;daemon.notice  /var/adm/messages

其中/var/adm/messages为日志文件。

如果该文件不存在，则创建该文件，命令为：

touch /var/adm/messages， 并修改权限为666.命令为：chmod 666 /var/adm/messages.

重启日志服务：

# systemctl restart rsyslog.service

13. 检查是否配置su命令使用情况记录

编辑/etc/rsyslog.conf,

配置:

authpriv.* /var/log/secure

14. 检查是否禁止root用户远程登录

修改/etc/ssh/sshd_config文件,。

#vim  /etc/ssh/sshd_config

配置PermitRootLogin no

15. 检查是否设置命令行界面超时退出

#vi /etc/profile  (增加如下)

#export TMOUT=600   (单位：秒)

16. 检查 passwd 和 group 文件中是否有不合法的'+' 参数存在

检查 passwd 和 group 文件中是否有不合法的'+' 参数存在

cat /etc/passwd | grep ‘*+*’

cat /etc/passwd | grep ‘*+*’

17. 设置用户登录访问的安全提示信息

l  检查方法

方法1、通过cat命令检查/etc/motd和/etc/issue文件中的banner信息；

方法2、使用SSH远程登录的方式，检查是否会出现warning的信息。

l  增加方法

编辑修改/etc/issue和/etc/motd文件，增加如下内容：

“Authorized users only. All activity may be monitored and reported”

l  修改/etc/issuse和/etc/motd的文件属主和属组：

chown root:sys /etc/motd

chown root:root /etc/issue