文档介绍：Linux系统加固规范
山东省计算中心
2017年7月
账号管理、认证授权
Linux-01-01-01
编号
Linux-01-01-01
名称
为不同的管理员分配不同的账号
实施目的
根据不同类型用途设置不同的帐户账号,提高系统安全。
问题影响
账号混淆,权限不明确,存在用户越权使用的可能。
系统当前状态
cat /etc/passwd 记录当前用户列表
实施步骤
1、参考配置操作
为用户创建账号:
#useradd username #创建账号
#passwd username #设置密码
修改权限:
#chmod 750 directory #其中755为设置的权限,可根据
实际情况设置相应的权限,directory是要更改权限的目录)
使用该命令为不同的用户分配不同的账号,设置不同的口令
及权限信息等。
回退方案
,重启APACHE
判断依据
判断是否漏洞。
实施风险
中
重要等级
★★★
Linux-01-01-02
编号
Linux-01-01-02
名称
去除不需要的帐号、修改默认帐号的shell变量
实施目的
删除系统不需要的默认帐号、更改危险帐号缺省的shell变量
问题影响
允许非法利用系统默认账号
系统当前状态
cat /etc/passwd 记录当前用户列表, cat /etc/shadow 记
录当前密码配置
实施步骤
1、参考配置操作
# userdel lp
# groupdel lp
如果下面这些系统默认帐号不需要的话,建议删除。
lp, sync, shutdown, halt, news, uucp, operator, games, gopher
修改一些系统帐号的shell变量,例如uucp,ftp和news等,
还有一些仅仅需要FTP 功能的帐号,一定不要给他们设置
/bin/bash或者/bin/sh 等Shell变量。可以在/etc/passwd中将它
们的shell 变量设为/bin/false 或者/dev/null 等,也可以使用
usermod -s /dev/null username命令来更改username的shell
为/dev/null。
回退方案
恢复账号或者SHELL
判断依据
如上述用户不需要,则锁定。
实施风险
中
重要等级
★★
备注
Linux-01-01-03
编号
Linux-01-01-03
名称
限制超级管理员远程登录
实施目的
限制具备超级管理员权限的用户远程登录。远程执行管理员
权限操作,应先以普通权限用户远程登录后,再切换到超级
管理员权限账。
问题影响
允许root远程非法登陆
系统当前状态
cat /etc/ssh/sshd_config
cat /etc/securetty
实施步骤
1、参考配置操作
SSH:
#vi /etc/ssh/sshd_config
把
PermitRootLogin yes
改为
PermitRootLogin no
重启sshd服务
#service sshd restart
CONSOLE:
在/etc/securetty文件中配置:CONSOLE = /dev/tty01
回退方案
还原配置文件
/etc/ssh/sshd_config
判断依据
/etc/ssh/sshd_config 中 PermitRootLogin no
实施风险
高
重要等级
★★
备注
Linux-01-01-04
编号
Linux-01-01-04
名称
对系统账号进行登录限制
实施目的
对系统账号进行登录限制,确保系统账号仅被守护进程和服
务使用。
问题影响
可能利用系统进程默认账号登陆,账号越权使用
系统当前状态
cat /etc/passwd查看各账号状态。
实施步骤
1、参考配置操作
Vi /etc/passwd
例如修改
lynn:x:500:500::/home/lynn:/sbin/bash
更改为:
lynn:x:500:500::/home/lynn:/sbin/nologin
该用户就无法登录了。
禁止所有用户登录。
touch /etc/nologin
除root以外的用户不能登录了。
2、补充操作说明
禁止交互登录的系统账号,比如daemon,bin,sys、adm、lp、
uucp、nuucp、smmsp等等
回退方案
还原/etc/passwd文件配置
判断依据