文档介绍：密级:商业秘密LINUX评估加固手册安氏领信科技发展有限公司二〇一九二〇一九年三月目录1、系统补丁的安装 3文档收集自网络,仅用于个人学****2、帐户、口令策略的加固 3文档收集自网络,、删除或禁用系统无用的用户 3文档收集自网络,、口令策略的设置 4文档收集自网络,、系统是否允许root远程登录 4文档收集自网络,、root的环境变量设置 5文档收集自网络,仅用于个人学****3、网络与服务加固 5文档收集自网络,、rc?.d中的服务的设置 5文档收集自网络,、/etc/ 6文档收集自网络,、NFS的配置 8文档收集自网络,、SNMP的配置 8文档收集自网络,、Sendmail的配置 9文档收集自网络,、DNS(Bind)的配置 9文档收集自网络,、网络连接访问控制的设置 9文档收集自网络,仅用于个人学****4、信任主机的设置 10文档收集自网络,仅用于个人学****5、日志审核的设置 11文档收集自网络,仅用于个人学****6、物理安全加固 11文档收集自网络,仅用于个人学****7、系统内核参数的配置 12文档收集自网络,仅用于个人学****8、选装安全工具 13文档收集自网络,仅用于个人学****1、系统补丁的安装RedHat使用RPM包实现系统安装的管理,系统没有单独补丁包(Patch)。如果出现新的漏洞,则发布一个新的RPM包,版本号(Version)不变,Release做相应的调整。因此检查RHLinux的补丁安装情况只能列出所有安装的软件,和RH网站上发布的升级软件对照,检查其中的变化。文档收集自网络,仅用于个人学****通过访问官方站点下载最新系统补丁,RedHat公司补丁地址如下:p/support/errata/文档收集自网络,仅用于个人学****rpm-qa查看系统当前安装的rpm包rpm-ivhpackage1安装RPM包rpm-Uvhpackage1升级RPM包rpm-Fvhpackage1升级RPM包(如果原先没有安装,则不安装)2、帐户、、删除或禁用系统无用的用户询问系统管理员,确认其需要使用的帐户如果下面的用户及其所在的组经过确认不需要,可以删除。lp,sync,shutdown,halt,news,uucp,operator,games,gopher文档收集自网络,仅用于个人学****修改一些系统帐号的shell变量,例如uucp,ftp和news等,还有一些仅仅需要FTP功能的帐号,检查并取消/bin/bash或者/bin/sh等Shell变量。可以在/etc/passwd中将它们的shell变量设为/bin/false或者/dev/null等。也可以通过passwdgroupdel来锁定用户、删除组。文档收集自网络,仅用于个人学****passwd-luser1锁定user1用户passwd-uuser1解锁user1用户groupdellp删除lp组。、口令策略的设置RedHatLinux总体口令策略的设定分两处进行,第一部分是在/etc/,其中有四项相关内容:文档收集自网络,仅用于个人学****PASS_MAX_DAYS密码最长时效(天)PASS_MIN_DAYS密码最短时效(天)PASS_MIN_LEN最短密码长度PASS_WARN_AGE密码过期前PASS_WARN_AGE天警告用户编辑/etc/,设定:PASS_MAX_DAYS=90PASS_MIN_DAYS=0PASS_MIN_LEN=8PASS_WARN_AGE=30另外可以在/etc/-auth文件中的cracklib项中定义口令强度:difokminlendcreditucreditlcreditocredit使用vi编辑/etc/-auth文件,设置cracklib的属性#%PAM-#Thisfileisauto-generated.#,仅用于个人学****authrequired/lib/security/,仅用于个人学****authrequired/lib/security/,ountrequired/lib/security