文章来源:自安全鸭
一、Linux安全加固常见查询命令
1.应按照不同的用户分配不同的账号。避免不同用户间共享账号。避免用户账号和设备间通信使用的账号共享
cat/etc/passwd#
不同的用户拥有不同的账号;
useraddusername#创建账号passwdusername#设置密码chmoddirectory#为要更改权限的目录根据实际情况设置权限
2.应删除或锁定与设备运行、维护等工作无关的账号。
cat/etc/passwd
grep-i-E"listen
gdm
webservd
nobody
nobody4
noaccess"cat/etc/shadow
grep-i-E"listen
gdm
webservd
nobody
nobody4
noaccess"#锁定用户:#修改/etc/shadow文件,用户名后加*LK*#将/etc/passwd文件中的shell域设置成/bin/false,/bin/false是最严格的禁止login选项,一切服务都不能用#/usr/sbin/nologin:nologin会礼貌的向用户显示一条信息,并拒绝用户登录passwd-lusername#锁定用户passwd–dusername#解锁用户。原有密码失效,登录需输入新密码
3.根据系统要求及用户的业务需求,建立多帐户组,将用户账号分配到相应的帐户组
cat/etc/passwdcat/etc/groupgroupadd–gGIDgroupname#创建一个组,并为其设置GID号,若不设GID,系统会自动为该组分配一个GID号usermod–ggroupusername#将用户username分配到group组中
4.使用PAM禁止任何人su为root
cat/etc/pam.d/suauthsufficient/lib/security/pam_rootok.soauthrequired/lib/security/pam_wheel.sogroup=wheel#有这两行表明只有wheel组的成员可以使用su命令成为root用户。即符合要求usermod–Ggroupnameusername#把用户添加到wheel组,使它可以使用su命令成为root用户
5.对于采用静态口令认证技术的设备,口令长度至少8位,并包括数字、小写字母、大写字母和特殊符号4类中至少3类
cat/etc/pam.d/system-auth#大于centos7版本的cat/etc/security/pwquality.conf#suselinux:cat/etc/pam.d/cpmmon-password
参考配置:minlen=8minclass=3retry=3dcredit=-1ucredit=-1ocredit=-1lcredit=-1minclass=N:密码组成(大/小字母,数字,特殊字符)minclass=N:密码组成(大/小字母,数字,特殊字符)#retry:设置用户输入口令字时允许重试的次数,默认值是retry=3。#dcredit=N:N=0:密码中最多有多少个数字;N0密码中最少有多少个数字lcredit=N:小写字母的个数ucredit=N大写字母的个数ocredit=-1最少1个符号
cat/etc/login.defs
grepPASSPASS_MIN_LEN=8#设定最小用户密码长度为8位
6.对于采用静态口令认证技术的设备,帐户口令的生存期不长于90天
cat/etc/login.defs
grepPASSPASS_MAX_DAYS=90#设定口令的生存期不长于90天
7.对于采用静态口令认证技术的设备,应配置设备,使用户不能重复使用最近5次(含5次)内已使用的口令
cat/etc/pam.d/system-auth
grepremember#默认没有remember的标记,不记录以前的密码,在passwordsufficient这一行加上remember=5即可passwordsufficientpam_unix.somd5shadownulloktry_first_passuse_authtokremember=5
Redhat:编辑/etc/pam.d/system-auth文件,Suse9:编辑/etc/pam.d/passwd文件,Suse10,Suse11:编辑/etc/pam.d/
