1.账号的加固
查看Linux系统当前的用户
输入cat /etc/password |grep bash 【询问每个账户的用途】
等保加固的内容删除或锁定无用账号,降低安全风险。【根据客户的情况进行删除或锁定】
加固过程:userdel <用户名>【这条命令用来删除不必要的账户】
passwd -l <用户名> 【这条命令是用来锁定不必要的账户】
passwd -u <用户名> 【这条命令是用来解锁账户】
2.密码策略加固
查看当前Linux的密码策略
输入cat /etc/login.defs |grep pass
当前查看,存在风险。等保要求密码最长有效期pass_max_days=90;密码最短存留期pass_min_days=2;密码长度最小值pass_min_lens=8;密码有效告警pass_warn_age=7
加固过程:
vi /etc/login.defs 【修改配置文件,修改相应的值,修改完成后保存并退出】
3.密码的复杂度加固
查看当前Linux系统的密码复杂度
输入:cat /etc/pam.d/system-auth
等保要求密码复杂度含最小长度minlen=8;包含大写字母ucredit、小写字母lcredit、数字dcredit、特殊符号ocredit,
加固过程
vi /etc/pam.d/system-auth 【修改配置文件,修改相应的值,修改完成后保存并退出】
4.登录失败锁定的加固
查看当前Linux系统的失败锁定
输入cat /etc/pam.d/system-auth |grep deny
等保要求需要配置登录失败锁定策略,推荐值登录失败三次,锁定30分钟
加固过程:
vi /etc/pam.d/system-auth 【修改配置文件,修改相应的值,修改完成后保存并退出】
5.服务的加固
查询是否开启telnet服务
输入rpm -ga |grep telnet;netstat -an |grep telnet
当前未开启telnet服务,如果客户开启了telnet服务,等保要求必须关闭telnet服务
加固过程:
Chkconfig telnet off【关闭telnet服务】
6.超时时间加固
查看当前Linux的超时设置时间
输入cat /etc/profile |grep TMOUT
等保要求需要设置查实时间,推荐值为180
加固方法:vi /etc/profile 【在文件的最后一行输入TMOUT=120,退出并保存即可】
7.权限的加固
查看当前Linux系统的audit、messages、secure的权限
输入ll /var//log |grep audit; ll /var//log |grep messages; ll /var//log|grep secure
等保要求同组用户和其他用户没有权限,等保推荐值为640
加固过程
Chmod <who> [+|-|=] <文件名>
