一. 賬戶安全

1.1 鎖定係統（tǒng）中多（duō）餘（yú）的自建帳（zhàng）號（hào）

檢查（chá）方法:

執行命（mìng）令

#cat /etc/passwd

#cat /etc/shadow

查看賬戶、口令文件，與係統管理員確認不必要的賬號。對（duì）於一些（xiē）保留的係統偽帳戶如：bin, sys，adm，uucp，lp, nuucp，hpdb, www, daemon等可根據（jù）需要鎖定（dìng）登陸。

備份方法：

#cp -p /etc/passwd /etc/passwd_bak

#cp -p /etc/shadow /etc/shadow_bak

加固方（fāng）法:

使用命（mìng）令passwd -l <用戶名（míng）>鎖定不必（bì）要的賬號。

使（shǐ）用命令（lìng）passwd -u <用戶（hù）名>解鎖需要恢複的賬號（hào）。

1.2設置係（xì）統口令策略

檢查方法：

使用命令

#cat /etc/login.defs|grep PASS查看密碼策略設置

備份方法：

cp -p /etc/login.defs /etc/login.defs_bak

加固方法：

#vi /etc/login.defs修改配置文件

PASS_MAX_DAYS 90 #新建用戶（hù）的密碼最長（zhǎng）使用天數

PASS_MIN_DAYS 0 #新建用（yòng）戶的密碼最短使用天（tiān）數（shù）

PASS_WARN_AGE 7 #新建（jiàn）用戶的密碼到期（qī）提前提醒天數（shù）

PASS_MIN_LEN 9 #最小密碼長度9

1.3禁用（yòng）root之外（wài）的超（chāo）級（jí）用戶（hù）

檢查（chá）方法：

#cat /etc/passwd 查看口（kǒu）令文件，口令文件格式如下：

login_name：password：user_ID：group_ID：comment：home_dir：command

login_name：用戶（hù）名（míng）

password：加密後（hòu）的（de）用戶（hù）密碼

user_ID：用戶ID，(1 ~ 6000) 若（ruò）用（yòng）戶ID=0，則該用戶（hù）擁（yōng）有（yǒu）超級用戶的權限。查（chá）看此處是否有多個ID=0。

group_ID：用戶組ID

comment：用（yòng）戶全名或其它注釋信息

home_dir：用戶根目錄（lù）

command：用戶（hù）登（dēng）錄後的執行（háng）命令

備（bèi）份方法：

#cp -p /etc/passwd /etc/passwd_bak

加（jiā）固方法：

使用命（mìng）令passwd -l <用戶名>鎖定不必要的超級賬戶。

使用命令passwd -u <用戶名>解鎖需要恢複的超級賬（zhàng）戶。

風險（xiǎn）：需要與管理員確認此超級（jí）用戶的用途（tú）。

1.4 限製能夠su為root的用戶

檢查方法：

#cat /etc/pam.d/su,查看是（shì）否有auth required /lib/security/pam_wheel.so這樣的配置條目

備份方法：#cp -p /etc/pam.d /etc/pam.d_bak

加（jiā）固方法：

#vi /etc/pam.d/su

在頭部添加：

auth required /lib/security/pam_wheel.so group=wheel

這（zhè）樣，隻有wheel組的用戶可以su到root

#usermod -G10 test 將test用戶加入到wheel組

當係統驗證出現問題（tí）時（shí），首先應（yīng）當檢查/var/log/messages或者/var/log/secure中的輸出信息，根據這（zhè）些信息判斷（duàn）用戶賬號的有效

性。如果是（shì）因為PAM驗（yàn）證故障，而引起root也無法登錄，隻能使用（yòng）single user或者rescue模（mó）式（shì）進行排（pái）錯。

1.5 檢查shadow中空口（kǒu）令（lìng）帳號

檢查方法：

#awk -F: '( == "") { print }' /etc/shadow

備（bèi）份方（fāng）法：cp -p /etc/shadow /etc/shadow_bak

加固方（fāng）法：對空口令賬號進行鎖定，或要求增加密碼

二、最小化（huà）服務

2.1 停止或禁用（yòng）與承載業務無（wú）關的服務

檢查方法：

#who –r或runlevel 查看（kàn）當前init級別

#chkconfig --list 查看所有服務的狀態

備份方（fāng）法：記錄需要關閉服務（wù）的名稱

加固方法：

#chkconfig --level <服務名（míng）> on|off|reset 設置服（fú）務（wù）在（zài）個init級別下（xià）開機是否（fǒu）啟動

三、數據訪問控（kòng）製（zhì）

3.1 設置合理的初始文件權限

檢查方法：

#cat /etc/profile 查看umask的值

備（bèi）份方法：

#cp -p /etc/profile /etc/profile_bak

加固方法：

#vi /etc/profile

umask=027

風險（xiǎn）：會修改新（xīn）建文件的默（mò）認權限，如果該服務（wù）器是WEB應用，則此項謹慎修改。

四、網（wǎng）絡（luò）訪（fǎng）問控製（zhì）

4.1 使（shǐ）用SSH進行管（guǎn）理

檢查（chá）方法：

#ps –aef | grep sshd 查看有無此服務

備份方法：

加固方法：

使用命（mìng）令開（kāi）啟（qǐ）ssh服（fú）務

#service sshd start

風險：改變管（guǎn）理員（yuán）的使用習慣

4.2 設置訪問控（kòng）製策略限製能（néng）夠管理本機的IP地址

檢查方法：

#cat /etc/ssh/sshd_config 查看有無AllowUsers的語句

備（bèi）份方（fāng）法：

#cp -p /etc/ssh/sshd_config /etc/ssh/sshd_config_bak

加（jiā）固方法：

#vi /etc/ssh/sshd_config，添（tiān）加以下語句

AllowUsers *@10.138.*.* 此句意為：僅允許10.138.0.0/16網（wǎng）段所（suǒ）有用戶通過（guò）ssh訪問

保（bǎo）存（cún）後重啟ssh服（fú）務

#service sshd restart

風險：需要和管理（lǐ）員確認能夠管理的IP段（duàn）

4.3 禁止root用戶遠程登陸

檢查方法：

#cat /etc/ssh/sshd_config 查看PermitRootLogin是否為no

備份方法：

#cp -p /etc/ssh/sshd_config /etc/ssh/sshd_config_bak

加固方法（fǎ）：

#vi /etc/ssh/sshd_config

PermitRootLogin no

保（bǎo）存後重（chóng）啟ssh服務（wù）

service sshd restart

4.4 限定信任主（zhǔ）機

檢查方法：

#cat /etc/hosts.equiv 查看其（qí）中的主機

#cat /$HOME/.rhosts 查看其中的主機

備份方法：

#cp -p /etc/hosts.equiv /etc/hosts.equiv_bak

#cp -p /$HOME/.rhosts /$HOME/.rhosts_bak

加固方法：

#vi /etc/hosts.equiv 刪（shān）除其中不必（bì）要的主機

#vi /$HOME/.rhosts 刪除其中不必要的主機

風險：在多機（jī）互備的環境（jìng）中，需要保留其他主機的IP可信任。

4.5 屏蔽登錄banner信息

檢查方法：

#cat /etc/ssh/sshd_config 查看文件中是否（fǒu）存在（zài）Banner字段，或banner字段為NONE

#cat /etc/motd 查看文（wén）件內容，該處內（nèi）容將作為（wéi）banner信息顯示給登錄用戶。

備份方法：

#cp -p /etc/ssh/sshd_config /etc/ssh/sshd_config_bak

#cp -p /etc/motd /etc/motd_bak

加固方法：

#vi /etc/ssh/sshd_config

banner NONE

#vi /etc/motd

刪除全（quán）部內容或更新（xīn）成自己想要添（tiān）加的內容

風險：無可見風險

4.6 防（fáng）止（zhǐ）誤使用Ctrl+Alt+Del重（chóng）啟係統

檢查方法：

#cat /etc/inittab|grep ctrlaltdel 查看（kàn）輸（shū）入行是否（fǒu）被注釋

備份方法：

#cp -p /etc/inittab /etc/inittab_bak

加固方法（fǎ）：

#vi /etc/inittab

在行開頭添加注釋符號“#”

#ca::ctrlaltdel:/sbin/shutdown -t3 -r now

五、用戶鑒別（bié）

5.1 設置帳（zhàng）戶鎖定登錄失敗鎖定次數、鎖定時（shí）間

檢查（chá）方法（fǎ）：

#cat /etc/pam.d/system-auth 查看（kàn）有（yǒu）無auth required pam_tally.so條目的設置

備份方法：

#cp -p /etc/pam.d/system-auth /etc/pam.d/system-auth_bak

加（jiā）固方法：

#vi /etc/pam.d/system-auth

auth required pam_tally.so onerr=fail deny=6 unlock_time=300 設置為密碼連續錯誤（wù）6次鎖定，鎖（suǒ）定時間300秒

解鎖用戶 faillog -u <用戶（hù）名> -r

風險（xiǎn）：需要PAM包的支持;對pam文（wén）件的修改（gǎi）應仔細檢查，一旦出現錯誤會（huì）導致無法登陸;

當係（xì）統驗證出現問題時，首（shǒu）先應當檢查/var/log/messages或者/var/log/secure中的（de）輸出信息，根據這些信息判斷用戶賬號的有效性。

5.2 修（xiū）改帳戶TMOUT值，設（shè）置自（zì）動注（zhù）銷（xiāo）時間

檢查方法：

#cat /etc/profile 查看有無（wú）TMOUT的（de）設置

備份（fèn）方法：

#cp -p /etc/profile /etc/profile_bak

加固方法：

#vi /etc/profile

增加

TMOUT=600 無操（cāo）作600秒後自動退出

風（fēng）險：無可見風險

5.3 Grub/Lilo密碼（mǎ）

檢查方法（fǎ）：

#cat /etc/grub.conf|grep password 查看（kàn）grub是否（fǒu）設置（zhì）密（mì）碼

#cat /etc/lilo.conf|grep password 查看lilo是否設置密碼

備份方法：

#cp -p /etc/grub.conf /etc/grub.conf_bak

#cp -p /etc/lilo.conf /etc/lilo.conf_bak

加固方法：為grub或lilo設置密碼

風險：etc/grub.conf通常會鏈接到/boot/grub/grub.conf

5.4 限製FTP登錄

檢查方（fāng）法：

#cat /etc/ftpusers 確認是（shì）否（fǒu）包含用戶名，這（zhè）些用（yòng）戶名不允（yǔn）許（xǔ）登錄FTP服務

備份方（fāng）法：

#cp -p /etc/ftpusers /etc/ftpusers_bak

加（jiā）固方法：

#vi /etc/ftpusers 添（tiān）加行（háng），每行包（bāo）含一個用戶名，添加的用戶（hù）將被禁（jìn）止登錄（lù）FTP服務

風險：無（wú）可（kě）見風險

5.5 設置Bash保留曆史命（mìng）令的條數

檢查方法：

#cat /etc/profile|grep HISTSIZE=

#cat /etc/profile|grep HISTFILESIZE= 查看保留（liú）曆史命令（lìng）的條數

備份方法：

#cp -p /etc/profile /etc/profile_bak

加（jiā）固（gù）方法：

#vi /etc/profile

修改HISTSIZE=5和HISTFILESIZE=5即保（bǎo）留最（zuì）新（xīn）執行的5條（tiáo）命令

六、審（shěn）計策略

6.1 配置係統（tǒng）日誌策略（luè）配置文件

檢查方法：

#ps –aef | grep syslog 確認syslog是否啟用

#cat /etc/syslog.conf 查看syslogd的配（pèi）置，並確認日誌（zhì）文件是否（fǒu）存在

係統日誌(默認（rèn）)/var/log/messages

cron日誌(默認)/var/log/cron

安全日誌(默認)/var/log/secure

備份方法：

<