账号管理、认证授权

账号

    为不同的管理员分配不同的账号

    去除不需要的帐号、修改默认帐号的 shell 变量

    限制超级管理员远程登录

    对系统账号进行登录限制

    为空口令用户设置密码

    除 root 之外 UID 为 0 的用户

口令

    缺省密码长度限制

    缺省密码生存周期限制

    口令过期提醒

文件与授权

    设置关键目录的权限

    修改 umask 值

    资源限制

    设置目录权限

    设置关键文件的属性

    对 root 为 ls、rm 设置别名

    使用 PAM 禁止任何人 su 为 root

    查看/tmp 目录属性

日志配置

    启用日志记录功能

    记录系统安全事件

    对 ssh、su 登录日志进行记录

    启用记录 cron 行为日志功能

    增加 ftpd 审计功能

通信协议

ip协议安全

    使用 ssh 加密传输

    设置访问控制列表

    更改主机解析地址的顺序

    打开 syncookie(缓解 syn flood 攻击)

    不响应 ICMP 请求

    防 syn 攻击优化

设备其他安全配置要求

补丁管理

    补丁装载

服务进程和启动

    关闭无效服务

    关闭无效服务和进程自动启

    禁止/etc/rc.d/init.d 下某些脚本的执行

    加固 snmp 服务

    修改 ssh 端口

Banner 与屏幕保护

    隐藏系统提示信息

    设置登录超时时间

    启动 LILO 时需要密码

可疑文件

    查找 SUID/SGID 程序

    查找/dev 下的非设备文件

    查找非/dev 下的设备文件

    查找所有人可写的文件

    查找没有属主的文件

    查找 rhosts 文件

    查找 netrc 文件

    文件系统-检查异常隐含文件