Linu 安全加固基线明细

执行相应操作。
对于使用IP协议进行远程维护的设备，设备应 1 配置使用SSH等加密协议，并安全配置SSHD的
设置。
3
系统日志文件由syslog创立并且不可被其他用 户修改；其它的系统日志文件不是全局可写
CentOS-9 CentOS-10 CentOS-11 CentOS-12
3
设备配置远程日志功能，将需要重点关注的日 志内容传输到日志服务器。
1 禁止root登陆FTP 1 禁止匿名ftp 1 修改FTP banner 信息
解决方案
备注
1、参考配置
使用如下命令为不同的用户分配不同的账号，设置不同的口令及权限信息等。
（1）为用户创建账号：
#useradd username #创建账号 #passwd username #设置密码
确认
（2）修改权限：
动为该组分配一个GID号；
#usermod –g group username
#将用户username分配到group组中。
可以根据实际需求使用如上命令进行设置。
确认
2、补充操作说明
（1）当group_name字段长度大于八个字符，groupadd命令会执行失败；
（2）当用户希望以其他用户组成员身份出现时，需要使用newgrp命令进行更改，如：#newgrp sys
确认
（1）根据实际情况修改文件或目录的权限。
（2）如果用户需要使用一个不同于默认全局系统设置的umask，可以在需要的时候通过命令行设置，
或者在用户的shell启动文件中配置。
1、参考配置
以vsftp为例 打开/etc/vsftpd/chroot_list文件，将需要限制的用户名加入到文件中
确认
2、补充操作说明
修改文件/etc/syslog.conf，加上这一行：
*.* @loghost （中间的分隔符为tab）
日志转储
可以将"*.*"替换为你实际需要的日志信息。比如：kern.* / mail.* 等等。
（2）重新启动syslog服务，依次执行下列命令：
#/etc/init.d/syslog restart
#chmod 750 directory #其中750为设置的权限，可根据实际情况设置相应的权限，directory
是要更改权限的目录或文件
1、参考配置
（1）删除用户：#userdel username;
（2）锁定用户：#passwd -l username
（3）解锁用户：#passwd -d username
1、参考配置
（1）修改/etc/syslog.conf，添加如下一行：
authpriv.* /var/log/secure（中间的分隔符是tab）
（2）重启syslog服务
#/etc/init.d/syslog restart
确认
2、补充操作说明
（1）将authpirv设备的任何级别的信息记录到/var/log/secure文件中，这主要是一些和认证、权限
1、参考配置 （1）修改文件权限，执行如下命令：
#chmod 640 /var/log/messages /var/log/secure /var/log/maillog /var/log/cron /var/log/spooler /var/log/boot.log
确认 确认
1、参考配置
（1）设置远程日志发送功能
确认
1、参考配置 （1）修改文件/etc/rc.d/rc.local，注释含有“echo ……>> /etc/issue”信息的行，在行首添加 “#” （2）删除/etc/issue文件 1、参考配置 （1）检查系统中是否有.netrc文件
#find / -name .netrc （2）检查系统中是否有.rhosts文件
对于采用静态口令认证技术的设备，口令长度 3 至少10位，并包括数字、小写字母、大写字母
和特殊符号4类中至少3类。
3
对于采用静态口令认证技术的设备，帐户口令 的生存期不长于90天。
1
在设备权限配置能力内，根据用户的业务需 要，配置其所需的最小权限。
限制具备超级管理员权限的用户远程登录。远
3
程执行管理员权限操作，应先以普通权限用户 远程登录后，再切换到超级管理员权限账号后
ftpd_banner=Welcome to blah FTP service
确认 确认 确认
#find / -name .rhosts （2）检查系统中是否有hosts.equiv文件
#find /etc -name hosts.equiv （3）如无应用，在相关文件目录下，删除以上文件：
#mv .rhost .rhost.bak #mv .netr .netr.bak #mv hosts.equiv hosts.equiv.bak
控制用户缺省访问权限，当在创建新文件或目
1
录时 应屏蔽掉新文件或目录不应有的访问允 许权限。防止同属于该组的其它用户及别的组
的用户修改该用户的文件或更高限制。
控制FTP进程缺省访问权限，当通过FTP服务创 3 建新文件或目录时应屏蔽掉新文件或目录不应
有的访问允许权限。
在保证业务网络稳定运行的前提下，安装最新 的OS补丁。补丁在安装前需要测试确定。
password requisite pam_cracklib.so minlen=10 lcredit=-1 ucredit=-1 dcredit=-1
ocredit=-1 minclass=3 2、补充操作说明
确认
（1）minlen 表示口令长度
（2）lcredit ucredit dcredit ocredit表示小写、大写、数字、符合，设定值为为负数如-1表示至
确认
这表明只有wheel组的成员可以使用su命令成为root用户。你可以把用户添加到wheel组，以使它可以
使用su命令成为root用户。添加方法为：
#chmod –G10 username
1、参考配置
（1）设置默认权限：
修改文件/etc/login.defs，配置“UMASK 027”
2、补充操作说明
1 启用记录cron行为日志功能
CentOS-18 CentOS-19
CentOS-20
CentOS-21 CentOS-22 CentOS-23
1 关闭不必要的服务。
2
修改系统banner，避免泄漏操作系统名称，版 本号，主机名称等，并且给出登陆告警信息
1
.rhosts，.netrc，hosts.equiv等文件都具有 潜在的危险，如果没有应用，应该删除
1、参考配置 （1）配置对cron行为进行审计： 修改文件/etc/syslog.conf，设置如下内容：
cron.* /var/log/cron（中间分隔符为tab） （2）重启syslog服务
#/etc/init.d/syslog restart
确认
1、参考配置 （1）关闭服务
#chkconfig --level 3 servername off #chkconfig --level 5 servername off 2、补充操作说明 （1）建议关闭的服务有：daytime、time、echo、discard、chargen、telnet、sendmail、ntalk、 ident、printer、bootps、tftp、kshell、klogin、lpd、nfs、nfs.lock、ypbind
少1个，为正数如3表示最多3个，minclass特殊字符个数。
（3）也可以修改文件/etc/login.defs来定义密码长度，配置如下内容：
PASS_MIN_LEN=10
1、参考配置
（1）设置密码生存周期 修改文件/etc/login.defs，配置如下内容：
确认
PASS_MAX_DAYS=60
1、参考配置
确认 确认
1、参考配置 （1）在文件/etc/vsftpd/ftpusers中增加超级用户。 （2）重启FTP服务 1、参考配置 （1）不要使用匿名ftp，修改vsftd.conf文件，配置如下：
anonymous_enable=NO 1、参考配置 （1）使用vsftpd，则修改文件：/etc/vsftpd/vsftpd.conf，添加如下内容：
小牛分期编号 CentOS-1
级别 基线详述
应按照不同的用户分配不同的账号，避免不同 3 用户间共享账号，避免用户账号和设备间通信
使用的账号共享。
CentOS-2
3 应删除与运行、维护等工作无关的账号。
CentOS-3 CentOS-4 CentOS-5
CentOS-6 CentOS-7 CentOS-8
（1）通过chmod 命令对目录的权限进行实际设置
#chmod 644 /etc/passwd
#chown root:root /etc/passwd #chmod 400 /etc/shadow
确认
#chown root:root /etc/shadow
#chmod 644 /etc/group
#chown root:root /etc/group
1 启用syslog系统日志审计功能
1
对于具备字符交互界面的设备，配置定时帐户 自动登出
3
根据系统要求及用户的业务需求，建立多帐户 组，将用户账号分配到相应的帐户组。
CentOS-13
CentOS-14 CentOS-15 CentOS-16 CentOS-17
1 使用PAM禁止任何人su为root
1、参考配置
（1）限制root用户远程登录。
修改文件/etc/ssh/sshd_config配置
PermitRootLogin no
修改文件/etc/securetty 配置 pts/*
确认
*为1、2、3、4、5.....
(2)重启sshd服务。
1、参考配置 （1）启用SSH的命令：#/etc/init.d/sshd start （2）禁用Telnet的命令：修改文件/etc/xinetd.d/telnet，将disable的值改为yes
avahi-autoipd、sabayon、pcap
1、参考配置
（1）修改文件/etc/pam.d/passwd，在password区增加如下配置内容：
password include
sHale Waihona Puke Baidustem-auth
（2）修改文件/etc/pam.d/system-auth，在password区配置如下内容：
即把当前用户以sys组身份运行；
1、参考配置
（1）使用PAM禁止任何人su为root
修改文件/etc/pam.d/su，在开头添加下面两行：
auth sufficient /lib/security/pam_rootok.so
auth required /lib/security/pam_wheel.so group=wheel
使用相关的信息。
1、参考配置 （1）设置定时账户自动登出时间 修改/etc/profile文件，设置如下内容：
export TMOUT=180；export TMOUT
确认，时 间有点 短，可以 暂时不设 置。
1、参考配置
（1）创建帐户组：
#groupadd –g GID groupname
#创建一个组，并为其设置GID号，若不设GID，系统会自
（4）禁止用户交互登录:修改/etc/passwd文件，用户shell修改为/sbin/nologin
确认
2、补充说明
需要锁定的账号：bin、daemon、adm、lp.sync.shutdown、halt、mail、news、uucp、operator、
games、gopher、ftp、nobody、vcsa、oprofile、ntp、xfs、dbus、avahi、haldeamon、gdm、