2024年6月2日发(作者:)
主机安全检查表(Linux)
项目名称
系统版本
系统标识
序号类别
1.1
1.2
2.1
查检内核版本
升级
更新
检查软件版本
设置密码最长使用天数(90天)
密码
设置密码最短使用天数(1天)
策略
新建用户密码到期提前提醒天数(7天)
设置口令最短字符(8个)
连续输错密码(5次)
超过输错密码次数,账号锁定时间(30分
锁定系统中多余账户
禁用Root之外的超级用户
账户
策略
限制空口令账号
设置自动注销时间(10分钟)
密码文件权限设置
限制能su成为root的用户
√
√
√
√
√
检查项
检查单受检单位
检查人检查地址
年 月 日
客户确检查日期
加固状态
已加固未加固不适用
现状描述
2.2
2.3
2.4
3.1
3.2
3.3
3.4
3.5
3.6
3.7
3.8
6.x86_64
Red Hat Enterprise Linux Server release 6.0
(Santiago)
PASS_MAX_DAYS 99999
PASS_MIN_DAYS 0
PASS_MIN_LEN 5
PASS_WARN_AGE 7
√
√
√
√
√
ll /etc/passwd
-rw-r--r-- 1 root root 1760 Jul 7 2011
/etc/passwd
[root@im etc]# lsattr passwd shadow group gshadow
-------------e- passwd
-------------e- shadow
-------------e- group
-------------e- gshadow
[root@im etc]# lsattr services
-------------e- services
HISTSIZE=1000
√
#auth sufficient pam_ #auth required
pam_ use_uid
4.1
文件
加固
修改账户和密码文件属性(passwd、shadow
、group和gshadow)
√
4.2
4.3
4.4
5.1
限制除root外的其他用户无法修改services文件
√
限制除root外的其他用户无法修改文
设置hostory的值为5
√
修改默认的文件创建属性
访问控制
序号类别
6.1
6.2
7.1
7.2
7.3
7.4
7.5
7.6
7.7
7.8
7.9
7.10
7.11
7.12
7.13
7.14
7.15
检查项
加固状态
已加固未加固不适用
现状描述
服务关闭不必要的inetd服务
加固关闭不必要的daemon服务
限制CTRL+ALT+DEL命令
删除不必要的NFS共享
远程访问控制设置(TCP Wrapper)
拒绝root通过ssh进行远程连接
允许密码错误到指定的次数时,断开连接
限制通过ssh管理主机的IP
安全
关闭icmp回显
设置
限制TTY设备登录
主机名解析设定
禁止IP源路由
资源限制
防止SYN Flood攻击
修正脚本文件在init.d目录下的权限
禁止Telnet服务
Apache安全设置
审计
系统日志配置
策略
审计日志设定
√
√
√
√
√
√
√
√
more /proc/sys/net/ipv4/tcp_syncookies
1
chmod -R 700 /etc/rc.d/init.d/*
√
√
√
√
√
√
√
√
√
start on control-alt-delete
exec /sbin/shutdown -r now "Control-Alt-Delete
pressed"
#MaxAuthTries 6
[root@im ssh]# more
/proc/sys/net/ipv4/icmp_echo_ignore_all
0
tty1 ~ tty11
/proc/sys/net/ipv4/conf/eth0/accept_source_route
0
8.1
8.2
序号类别检查项
加固状态
已加固未加固不适用
现状描述
序号类别检查项
加固状态
已加固未加固不适用
现状描述
序号类别检查项
加固状态
已加固未加固不适用
现状描述
序号类别检查项
加固状态
已加固未加固不适用
现状描述
序号类别检查项
加固状态
已加固未加固不适用
现状描述
序号类别检查项
加固状态
已加固未加固不适用
现状描述
序号类别检查项
加固状态
已加固未加固不适用
现状描述
序号类别检查项
加固状态
已加固未加固不适用
现状描述
序号类别检查项
加固状态
已加固未加固不适用
现状描述
序号类别检查项
加固状态
已加固未加固不适用
现状描述
序号类别检查项
加固状态
已加固未加固不适用
现状描述
序号类别检查项
加固状态
已加固未加固不适用
现状描述
序号类别检查项
加固状态
已加固未加固不适用
现状描述
序号类别检查项
加固状态
已加固未加固不适用
现状描述
序号类别检查项
加固状态
已加固未加固不适用
现状描述
加固操作
PASS_MAX_DAYS 90
PASS_MIN_DAYS 1
PASS_MIN_LEN 8
PASS_WARN_AGE 7
添加: auth required pam_ onerr=fail deny=5 unlock_time=300
取消注释
添加:TIMOUT=600
[root@im etc]# chmod 600 passwd
[root@im etc]# ll passwd
-rw------- 1 root root 1760 Jul 7 2011 passwd
[root@im etc]# chattr +i passwd
[root@im etc]# chattr +i shadow
[root@im etc]# chattr +i group
[root@im etc]# chattr +i gshadow
[root@im etc]# chattr +i services
HISTSIZE=5
加固操作
注释掉
MaxAuthTries 3
只允许tty1 和 tty7
添加:nospoof on
加固操作
加固操作
加固操作
加固操作
加固操作
加固操作
加固操作
加固操作
加固操作
加固操作
加固操作
加固操作
加固操作
加固操作
加固操作
发布评论