文档介绍:Linux系统加固规范山东省计算中心2019年2月账号管理、认证授权Linux-01-01-01编号Linux-01-01-01名称为不同的管理员分配不同的账号实施目的根据不同类型用途设置不同的帐户账号,提高系统安全。问题影响账号混淆,权限不明确,存在用户越权使用的可能。系统当前状态cat/etc/passwd记录当前用户列表实施步骤1、参考配置操作为用户创建账号:#useraddusername#创建账号#passwdusername#设置密码修改权限:#chmod750directory#其中755为设置的权限,可根据实际情况设置相应的权限,directory是要更改权限的目录)使用该命令为不同的用户分配不同的账号,设置不同的口令及权限信息等。,重启APACHE判断依据判断是否漏洞。实施风险中重要等级★★★Linux-01-01-02编号Linux-01-01-02名称去除不需要的帐号、修改默认帐号的shell变量实施目的删除系统不需要的默认帐号、更改危险帐号缺省的shell变量问题影响允许非法利用系统默认账号系统当前状态cat/etc/passwd记录当前用户列表,cat/etc/shadow记录当前密码配置实施步骤1、参考配置操作#userdellp#groupdellp如果下面这些系统默认帐号不需要的话,建议删除。lp,sync,shutdown,halt,news,uucp,operator,games,gopher修改一些系统帐号的shell变量,例如uucp,ftp和news等,还有一些仅仅需要FTP功能的帐号,一定不要给他们设置/bin/bash或者/bin/sh等Shell变量。可以在/etc/passwd中将它们的shell变量设为/bin/false或者/dev/null等,也可以使用usermod-s/dev/nullusername命令来更改username的shell为/dev/null。回退方案恢复账号或者SHELL判断依据如上述用户不需要,则锁定。实施风险中重要等级★★备注Linux-01-01-03编号Linux-01-01-03名称限制超级管理员远程登录实施目的限制具备超级管理员权限的用户远程登录。远程执行管理员权限操作,应先以普通权限用户远程登录后,再切换到超级管理员权限账。问题影响允许root远程非法登陆系统当前状态cat/etc/ssh/sshd_configcat/etc/securetty实施步骤1、参考配置操作SSH:#vi/etc/ssh/sshd_config把PermitRootLoginyes改为PermitRootLoginno重启sshd服务#servicesshdrestartCONSOLE:在/etc/securetty文件中配置:CONSOLE=/dev/tty01回退方案还原配置文件/etc/ssh/sshd_config判断依据/etc/ssh/sshd_config中PermitRootLoginno实施风险高重要等级★★备注Linux-01-01-04编号Linux-01-01-04名称对系统账号进行登录限制实施目的对系统账号进行登录限制,确保系统账号仅被守护进程和服务使用。问题影响可能利用系统进程默认账号登陆,账号越权使用系统当前状态cat/etc/passwd查看各账号状态。实施步骤1、参考配置操作Vi/etc/passwd例如修改lynn:x:500:500::/home/lynn:/sbin/bash更改为:lynn:x:500:500::/home/lynn:/sbin/nologin该用户就无法登录了。禁止所有用户登录。touch/etc/nologin除root以外的用户不能登录了。2、补充操作说明禁止交互登录的系统账号,比如daemon,bin,sys、adm、lp、uucp、nuucp、smmsp等等回退方案还原/etc/passwd文件配置判断依据/etc/passwd中的禁止登陆账号的shell是/sbin/nologin实施风险中重要等级★★★备注Linux-01-01-05编号Linux-01-01-05名称为空口令用户设置密码实施目的禁止空口令用户,存在空口令是很危险的,用户不用口令认证就能进入系统。问题影响用户被非法利用系统当前状态cat/etc/passwdawk-F:'($2==""){print$1}'/etc/passwd实施步骤awk-F:'($2==""){print$1}'/etc/passwd用root用户登陆Linux系统,执行passwd命令,给用户增加口令。例如:passwdtesttest。回退方案Root身份设置用户口令,取消口令如做了口令策略则失败判断依据登陆