1、文件系统安全1.1 敏感文件权限文件路径属主权限/etc/fstabroot644(rw-r—r--)/etc/passwdroot644(rw-r—r--)/etc/shadowroot600(rw)/etc/grouproot600(rw-r--r--)/etc/servicesroot600(rw)/etc/aliasesroot755(rwxr-xr-x)/etc/securettyroot400(r)另:/etc/services:设置不可改变 chattr+i/etc/service。/etc/aliases:注释掉”decode,games,ingres,system,toor,uucp,manager,dumper,operator”。1.2 危险文件以下文件是危险文件,需要删除:/etc/hosts.equiv/etc/shosts.equiv$HOME/.rhosts$HOME/.shosts1.3 敏感目录 S 标志位检查检查 PATH 环境变量的目录中是否存在除白名单以外的带有 S 标志位的文件。白名单:/sbin/mount.nfs/sbin/pam_timestamp_check/sbin/netreport/sbin/unix_chkpwd/bin/mount/bin/ping6/bin/su/bin/cgexec/bin/cgclassify/bin/ping/bin/umount/usr/sbin/userhelper/usr/sbin/fping/usr/sbin/usernetctl/usr/sbin/lockdev/usr/sbin/postdrop/usr/sbin/fping6/usr/sbin/postqueue/usr/bin/crontab/usr/bin/chfn/usr/bin/write/usr/bin/newgrp/usr/bin/chage/usr/bin/at/usr/bin/pkexec/usr/bin/wall/usr/bin/ssh-agent/usr/bin/gpasswd/usr/bin/sudo/usr/bin/chsh/usr/bin/staprun/usr/bin/passwd1.4 用户目录 S 标志位检查检查用户 home 目录是否存在 setuid 或 setgid 文件。1.5 用户目录/文件所属检查检查用户目录和文件是否属于正确的用户和用户组1.6 用户目录设备文件检查检查用户目录是否存在设备文件,若存在则有异常2、用户账号安全2.1 密码安全策略1、口令至少为 8 位,并且包括特殊字符2、口令不要太简单,不要以你或者有关人的相关信息构成的密码,比如生日、电话、姓名的拼音或者缩写、单位的拼音或者英文简称等等。3、口令必须有有效期4、发现暴力破解,需要更换口令2.2 检查密码是否安全1、密码不能与用户名相同。2、使用弱密码字典进行检测。2.3 管理密码1、检查可登录用户是否存在空密码情况;2、禁止使用最近使用过的 5 个密码;编辑 cat/etc/pam.d/system-auth 文件:增加passwordsufficientpam_unix.somd5shadownulloktry_first_passuse_authtokremember=5~3、设置服务器口令有效期为 3 个月;4、口令长度至少 8 位;5、只允许服务器管理组(wheel 或其他)使用 su 命令切换到 root 用户。2.4 增加认证失败锁定策略编辑/etc/pam.d/login(终端)和/etc/pam.d...
