下载后可任意编辑Linux 系统加固法律规范山 东 省 计 算 中 心2025年 3 月下载后可任意编辑11账号管理、 认证授权账号管理、 认证授权1.1.1 Linux-01-01-01 Linux-01-01-01编号Linux-01-01-01名称为不同的管理员分配不同的账号实施目的根据不同类型用途设置不同的帐户账号, 提高系统安全。问题影响账号混淆, 权限不明确, 存在用户越权使用的可能。系统当前状态cat /etc/passwd 记录当前用户列表实施步骤1、 参考配置操作 为用户创立账号: #useradd username #创立账号 #passwd username #设置密码 修改权限: #chmod 750 directory #其中 755 为设置的权限, 可根据实际情况设置相应的权限, directory 是要更改权限的目录) 使用该命令为不同的用户分配不同的账号, 设置不同的口令及权限信息等。回退方案恢复 httpd.conf 文件, 重启 APACHE推断依据推断是否漏洞。实施风险中重要等级★★★下载后可任意编辑1.1.2 Linux-01-01-02 Linux-01-01-02编号Linux-01-01-02名称去除不需要的帐号、 修改默认帐号的 shell 变量实施目的删除系统不需要的默认帐号、 更改危险帐号缺省的 shell 变量问题影响允许非法利用系统默认账号系统当前状态cat /etc/passwd 记录当前用户列表, cat /etc/shadow 记录当前密码配置实施步骤1、 参考配置操作 # userdel lp # groupdel lp 假如下面这些系统默认帐号不需要的话, 建议删除。 lp, sync, shutdown, halt, news, uucp, operator, games, gopher 修改一些系统帐号的 shell 变量, 例如 uucp,ftp 和 news 等, 还有一些仅仅需要 FTP 功能的帐号, 一定不要给她们设置/bin/bash 或者/bin/sh 等 Shell 变量。能够在/etc/passwd 中将它们的 shell 变量设为/bin/false 或者/dev/null 等, 也能够使用usermod -s /dev/null username 命令来更改 username 的 shell为/dev/null。回退方案恢复账号或者 SHELL推断依据如上述用户不需要, 则锁定。实施风险中重要等级★★备注下载后可任意编辑1.1.3 Linux-01-01-03 Linux-01-01-03编号Linux-01-01-03名称限制超级管理员远程登录实施目的限制具备超级管理员权限的用户远程登录。远程执行管理员权限操作, 应先以普通权限用户远程登录后, 再切换到超级管理员权限账。问题影响允许 root 远程非法登陆系统当前状态cat /etc/ssh/sshd_config cat /etc/securetty实施步骤1、...
