1./etc/motd

操作:echo " Authorized users only. All activity may be monitored and reported " > /etc/motd

效果:telnet和ssh登录后的输出信息

2. /etc/issue和/etc/issue.net

操作:echo " Authorized users only. All activity may be monitored and reported " > /etc/issue.net

效果:telnet主机未登录时输出的信息

3./etc/syslog.conf--远程日志服务配置文件

4./etc/sysctl.conf--操作系统配置文件

5./etc/vsftpd/vsftpd.conf--vsftpd配置文件

6./etc/ssh/sshd_config--ssh配置文件

7./etc/hosts.allow和/etc/hosts.deny--服务连接白名单/黑名单文件

8./etc/pam.d/system-auth--系统登录验证配置文件

9./etc/init/control-alt-delete.conf--ctrl+alt+del快捷键启用/禁用

10./etc/profile--环境变量配置文件,通常用于配置UMASK和TMOUT

11./etc/login.defs--口令(长度及有效时长等)配置文件

12.基线合规配置脚本(IP注意修改)

MDFDATE=`date +"%Y%m%d"`

#add telnet and ssh banner

cp -p /etc/motd /etc/motd.bak${MDFDATE}

cp -p /etc/issue /etc/issue.bak${MDFDATE}

cp -p /etc/issue.net /etc/issue.net.bak${MDFDATE}

echo " Authorized users only. All activity may be monitored and reported " > /etc/motd

echo " Authorized users only. All activity may be monitored and reported " > /etc/issue

echo " Authorized users only. All activity may be monitored and reported " > /etc/issue.net

#/etc/init.d/xinetd restart

#set ftp default right

cp -p /etc/vsftpd/vsftpd.conf /etc/vsftpd/vsftpd.conf.bak${MDFDATE}

sed -i 's/#ls_recurse_enable=/ls_recurse_enable=/g' /etc/vsftpd/vsftpd.conf

echo "anon_umask=022" >> /etc/vsftpd/vsftpd.conf

#vsftpd

sed -i '/^anonymous_enable=YES/d' /etc/vsftpd/vsftpd.conf

echo 'anonymous_enable=NO' >> /etc/vsftpd/vsftpd.conf

sed -i '/^chroot_local_user=/d' /etc/vsftpd/vsftpd.conf

echo 'chroot_local_user=YES' >> /etc/vsftpd/vsftpd.conf

sed -i '/^userlist_enable=/d' /etc/vsftpd/vsftpd.conf

echo 'userlist_enable=YES' >> /etc/vsftpd/vsftpd.conf

echo 'userlist_deny=NO' >> /etc/vsftpd/vsftpd.conf

echo 'userlist_file=/etc/vsftpd/ftpuser_deny' >> /etc/vsftpd/vsftpd.conf

cat> /etc/vsftpd/ftpuser_deny << EOF

root

daemon

bin

sys

adm

lp

uucp

nuucp

listen

nobody

noaccess

nobody4

EOF

#close not need service

chkconfig cups off

#forbidden icmp redirect

cp -p /etc/sysctl.conf /etc/sysctl.conf.bak${MDFDATE}

echo "net.ipv4.conf.all.accept_redirects=0" >> /etc/sysctl.conf

#sysctl -p

#add remote log server

cp /etc/syslog.conf /etc/syslog.conf.bak${MDFDATE}

sed -i '/remote-host:514/a\*.info    @192.168.220.128' /etc/syslog.conf

echo 'auht.info       /var/log/authlog' >> /etc/syslog.conf

echo 'authpriv.*   /var/log/authlog' >> /etc/syslog.conf

echo '*.err;auth.info        /var/adm/messages' >> /etc/syslog.conf

touch /var/log/authlog

for f in `cat /etc/rsyslog.conf|grep -v "@"|grep -v "^#" |grep -v "^\$"|grep "/var" |grep -v "\-\/"|awk "{print$2}"`

do

chmod  $f

done

#forbid root romote login

cp -p /etc/ssh/sshd_config /etc/ssh/sshd_config.bak${MDFDATE}

sed -i 's/^PermitRootLogin yes/#PermitRootLogin yes/g' /etc/ssh/sshd_config

sed -i '/PermitRootLogin yes/a\PermitRootLogin no' /etc/ssh/sshd_config

#/etc/init.d/sshd restart

sed -i 's/^pts/#pts/g' /etc/securetty

#ssh banner

touch /etc/sshbanner

chown bin:bin /etc/sshbanner

chmod  /etc/sshbanner

echo " Authorized users only. All activity may be monitored and reported "   > /etc/sshbanner

echo "Banner /etc/sshbanner" >> /etc/ssh/sshd_config

service sshd restart

#limit ip to login

echo 'sshd:all:deny' >> /etc/hosts.deny

echo 'sshd:192.168.220.129:allow' >> /etc/hosts.allow

echo 'sshd:192.168.220.:allow' >> /etc/hosts.allow

#add password limit

#password remember

#add auth clock

cp -p /etc/pam.d/system-auth /etc/pam.d/system-auth.bak${MDFDATE}

echo "" >> /etc/pam.d/system-auth

echo "password    requisite     pam_cracklib.so dcredit=-1 lcredit=-1 ocredit=-1 minclass=2 minlen=8" >> /etc/pam.d/system-auth

echo "password    sufficient    pam_unix.so remember=5 md5 shadow nullok try_first_pass use_authtok" >> /etc/pam.d/system-auth

echo "auth required pam_tally2.so deny=6 onerr=fail no_magic_root unlock_time=120" >> /etc/pam.d/system-auth

#forbid ctrl+alt+del

cp -p /etc/inittab /etc/inittab.bak${MDFDATE}

sed -i '/ctrlaltdel/d' /etc/inittab

cp /etc/init/control-alt-delete.conf /etc/init/control-alt-delete.conf.bak${MDFDATE}

sed -i 's/^start/#start/g' /etc/init/control-alt-delete.conf

sed -i 's/^exec/#exec/g' /etc/init/control-alt-delete.conf

#umask

cp -p /etc/profile /etc/profile.bak${MDFDATE}

sed -i 's/umask 022/umask 027/g' /etc/profile

echo 'umask 027' >> /etc/profile

sed -i '/^TMOUT.*/d' /etc/profile

echo "export TMOUT=540" >>/etc/profile

cp -p /etc/csh.cshrc /etc/csh.cshrc.bak${MDFDATE}

echo 'set autologout = 540' >> /etc/csh.cshrc

#password file

chmod u+rw /etc/shadow

cp /etc/shadow /etc/shadow.bak${MDFDATE}

sed -i 's/^lp:/lp:!!/g' /etc/shadow

sed -i 's/^nobody:/nobody:!!/g' /etc/shadow

sed -i 's/^uucp:/uucp:!!/g' /etc/shadow

sed -i 's/^games:/games:!!/g' /etc/shadow

sed -i 's/^rpm:/rpm:!!/g' /etc/shadow

sed -i 's/^smmsp:/smmsp:!!/g' /etc/shadow

sed -i 's/^nfsnobody:/nfsnobody:!!/g' /etc/shadow

chmod  /etc/passwd

chmod  /etc/shadow

chmod  /etc/group

cp /etc/login.defs /etc/login.defs.bak${MDFDATE}

sed -i 's/PASS_MIN_LEN.*5*/PASS_MIN_LEN    8/g'  /etc/login.defs

sed -i 's/PASS_MAX_DAYS.*99999/PASS_MAX_DAYS   90/g' /etc/login.defs

#application user

#useradd -U forchk

Linux基线合规检查中各文件的作用及配置脚本的更多相关文章

  1. 阿里云安骑士-Centos7系统基线合规检测-修复记录

    执行命令 sysctl -w net.ipv4.conf.all.send_redirects=0sysctl -w net.ipv4.conf.default.send_redirects=0sys ...

  2. vue项目中一些文件的作用

    原文 简书原文:https://www.jianshu.com/p/38749e5bec3c 大纲 1.vue项目结构 2.主要的配置文件 2.1.package.json 2.2.dev-serve ...

  3. angular项目中各个文件的作用

    原文地址 https://www.jianshu.com/p/176ea79a7101 大纲 1.对angular项目中的一些文件的概述 2.对其中一些文件的详细描述 2.1.package.json ...

  4. Eclipse 中 Java 项目中 .settings 文件夹作用

    今天工作时,因对 .settings 文件夹误操作,耗时 6 个多小时,才了解到原因就出在 .settings 文件夹.经查阅资料,对 .settings 做如下整理: 就如setting这个名字,就 ...

  5. linux下/var/run目录下.pid文件的作用

    1.pid文件的内容用cat命令查看,可以看到内容只有一行,记录了该进程的ID 2.pid文件的作用防止启动多个进程副本 3.pid文件的原理进程运行后会给.pid文件加一个文件锁,只有获得该锁的进程 ...

  6. VC++6.0中各种文件的作用

    VC++ 6.0是一款很经典的C/C++开发工具,虽然是1998年的东西了,但是现在使用依然很广!在用它开发的时候,会发现在建立的工程的文件夹里面,有很多文件,各种后缀名.在这里呢,我主要说一下各个文 ...

  7. 网安等保-Linux服务器之最新Ubuntu-22.04-LTS系统内核优化与安全加固配置脚本使用分享

    关注「WeiyiGeek」公众号 设为「特别关注」每天带你玩转网络安全运维.应用开发.物联网IOT学习! 希望各位看友[关注.点赞.评论.收藏.投币],助力每一个梦想. 本章目录 目录 0x00 前言 ...

  8. Linux中各个文件的作用

    1.bin: 存放的是执行的常用指令 2.boot: 启动系统的核心文件 3.dev: Linux将设备映射成文件,而dev中放的就是这些设备文件 4.etc: 各种配置文件 5.home: 用户的主 ...

  9. Linux系统在启动过程中内核文件丢失的解决方法

    在/boot目录下有两个重要的文件,分别是: vmlinuz-3.10.0-123.el7.x86_64         内核文件 initamfs-3.10.0-123.el7.x86_64.img ...

随机推荐

  1. C#窗口禁止移动的方法

    1,窗口属性中有locked属性,设置为true. (在自己进行编码的时候并没能找到这个属性,貌似只能在窗口设计时进行设置,故此方法无可控性) 2,窗口属性中有FormBorderStyle属性,设置 ...

  2. 每日质量NPM包-classnames

    一.classnames 现在到处都追求效率开发,所谓存在即合理,各种各样的开源包/项目火热,也是因为他们大大解决了之前复杂的逻辑.作为榜上前10的热门包:classnames.还真需要了解了解它才能 ...

  3. animate.css –齐全的CSS3动画库--- 学习笔记

    animate.css – 齐全的CSS3动画库 学习网站: https://daneden.github.io/animate.css/ http://www.dowebok.com/98.html ...

  4. Redis的EXPIRE过期机制介绍

    概述在实际开发过程中经常会遇到一些有时效性数据,比如限时优惠活动,缓存或者验证码之类的.过了一段时间就需要删除这些数据.在关系型数据库中一般都要增加一个字段记录数据的到期时间,然后周期性地检查过期数据 ...

  5. centos7 彻底卸载PHP7

    [root@xxx php-memcached]# rpm -qa | grep php php70w-common--.w7.x86_64 php70w-devel--.w7.x86_64 php7 ...

  6. NoSQL(not only struts query language)的简单介绍

    为什么需要NoSQL? 互联网自扩大规模来一直面临3个问题 1.High performance高并发 一个网站开发实时生成动态页面可能会存在高并发请求的需求,硬盘IO已经无法接受 2.Huge St ...

  7. Qt基本布局(QLayout)

    概述 Qt提供了QHBoxLayout类(水平排列布局),QVBoxLayout类(垂直排列布局),QGridLayout类(网格排列布局)等基本布局管理.它们之间的继承关系如下图 布局中常用的方法有 ...

  8. Codeforces 813E - Army Creation

    813E - Army Creation 思路: 线段树+二分 先预处理每个点往后走k步的下标 线段树二叉树的每个节点用vector维护这些下标,给这些下标排个序 询问区间L,R,那么把下标小于等于R ...

  9. JavaScript 第十章总结:first class functions

    前言 这一章的内容是 advanced knowledge and use of functions. 讲了关于 function 的使用的一些特殊的方面. function expression 的 ...

  10. nginx ----> nginx配置/反向代理/负载均衡

    nginx [engine x]是一个HTTP和反向代理服务器,一个邮件代理服务器和一个通用的TCP/UDP代理服务器,最初由Igor Sysoev编写. 环境: Ubuntu16.04 安装ngin ...