linux 系统安全基线 安全加固操作

目录

 

用户口令设置

root用户远程登录限制

检查是否存在除root之外UID为0的用户

​​​​​​​root用户环境变量的安全性

​​​​​​​远程连接的安全性配置

​​​​​​​用户的umask安全配置

​​​​​​​重要目录和文件的权限设置

​​​​​​​找未授权的SUID/SGID文件

​​​​​​​检查任何人都有写权限的目录

​​​​​​​查找任何人都有写权限的文件

​​​​​​​检查没有属主的文件

​​​​​​​检查异常隐含文件

​​​​​​​syslog登录事件记录

​​​​​​​Syslog.conf的配置审核

​​​​​​​系统core dump状态 


 

​​​​​​​用户口令设置

安全基线项目名称

操作系统Linux用户口令安全基线要求项

安全基线编号

SBL-Linux-02-01-01

安全基线项说明  

帐号与口令-用户口令设置

检测操作步骤

1、询问管理员是否存在如下类似的简单用户密码配置,比如:

root/root, test/test, root/root1234

2、执行:more /etc/login,检查PASS_MAX_DAYS/PASS_MIN_LEN/PASS_MIN_DAYS/PASS_WARN_AGE参数

3、执行:awk -F: '($2 == "") { print $1 }' /etc/shadow, 检查是否存在空口令账号

基线符合性判定依据

建议在/etc/login文件中配置:PASS_MIN_LEN=6

不允许存在简单密码,密码设置符合策略,如长度至少为6

不存在空口令账号

备注

 

 

​​​​​​​root用户远程登录限制

安全基线项目名称

操作系统Linux远程登录安全基线要求项

安全基线编号

SBL-Linux-02-01-02 

安全基线项说明  

帐号与口令-root用户远程登录限制

检测操作步骤

执行:more /etc/securetty,检查Console参数

基线符合性判定依据

建议在/etc/securetty文件中配置:CONSOLE = /dev/tty01

备注

 

 

​​​​​​​检查是否存在除root之外UID0的用户

安全基线项目名称

操作系统Linux超级用户策略安全基线要求项

安全基线编号

SBL-Linux-02-01-03 

安全基线项说明  

帐号与口令-检查是否存在除root之外UID为0的用户

检测操作步骤

执行:awk -F: '($3 == 0) { print $1 }' /etc/passwd

基线符合性判定依据

返回值包括“root”以外的条目,则低于安全要求;

备注

补充操作说明

UID为0的任何用户都拥有系统的最高特权,保证只有root用户的UID为0

 

​​​​​​​root用户环境变量的安全性

安全基线项目名称

操作系统Linux超级用户环境变量安全基线要求项

安全基线编号

SBL-Linux-02-01-04 

安全基线项说明  

帐号与口令-root用户环境变量的安全性

检测操作步骤

执行:echo $PATH | egrep '(^|:)(\.|:|$)',检查是否包含父目录,

执行:find `echo $PATH | tr ':' ' '` -type d \( -perm -002 -o -perm -020 \) -ls,检查是否包含组目录权限为777的目录

基线符合性判定依据

返回值包含以上条件,则低于安全要求;

find `echo $PATH | tr ':' ' '` -type d \( -perm -777 -o -perm -777 \) -ls

补充操作说明

确保root用户的系统路径中不包含父目录,在非必要的情况下,不应包含组权限为777的目录

 

​​​​​​​远程连接的安全性配置

安全基线项目名称

操作系统Linux远程连接安全基线要求项

安全基线编号

SBL-Linux-02-02-01

安全基线项说明  

帐号与口令-远程连接的安全性配置

检测操作步骤

执行:find  / -name  .netrc,检查系统中是否有.netrc文件,

执行:find  / -name  .rhosts ,检查系统中是否有.rhosts文件

基线符合性判定依据

返回值包含以上条件,则低于安全要求;

备注

补充操作说明

如无必要,删除这两个文件

 

​​​​​​​用户的umask安全配置

安全基线项目名称

操作系统Linux用户umask安全基线要求项

安全基线项说明  

帐号与口令-用户的umask安全配置

检测操作步骤

执行:more /etc/profile  more /etc/csh.login  more /etc/csh.cshrc  more /etc/bashrc检查是否包含umask值

基线符合性判定依据

umask值是默认的,则低于安全要求

备注

补充操作说明 直接vi /etc/bashrc

建议设置用户的默认umask=077   数据库机器不装。

 

​​​​​​​重要目录和文件的权限设置

安全基线项目名称

操作系统Linux目录文件权限安全基线要求项

安全基线编号

SBL-Linux-02-02-03 

安全基线项说明  

文件系统-重要目录和文件的权限设置

检测操作步骤

执行以下命令检查目录和文件的权限设置情况:

ls  –l  /etc/

ls  –l  /etc/rc.d/init.d/

ls  –l  /tmp

ls  –l  /etc/inetd.conf

ls  –l  /etc/passwd

ls  –l  /etc/shadow

ls  –l  /etc/group

ls  –l  /etc/security

ls  –l  /etc/services

ls  -l  /etc/rc*.d

基线符合性判定依据

若权限过低,则低于安全要求;

备注

补充操作说明

对于重要目录,建议执行如下类似操作:

# chmod -R 750 /etc/rc.d/init.d/*

这样只有root可以读、写和执行这个目录下的脚本。

 

​​​​​​​找未授权的SUID/SGID文件

安全基线项目名称

操作系统Linux SUID/SGID文件安全基线要求项

安全基线编号

SBL-Linux-02-02-04 

安全基线项说明  

文件系统-查找未授权的SUID/SGID文件

检测操作步骤

用下面的命令查找系统中所有的SUID和SGID程序,执行:

for PART in `grep -v ^# /etc/fstab | awk '($6 != "0") {print $2 }'`; do

find  /  \( -perm -04000 -o -perm -02000 \) -type f -xdev -print

Done

基线符合性判定依据

若存在未授权的文件,则低于安全要求;

备注

补充操作说明

建议经常性的对比suid/sgid文件列表,以便能够及时发现可疑的后门程序

 

​​​​​​​检查任何人都有写权限的目录

安全基线项目名称

操作系统Linux目录写权限安全基线要求项

安全基线编号

SBL-Linux-02-02-05 

安全基线项说明  

文件系统-检查任何人都有写权限的目录

检测操作步骤

在系统中定位任何人都有写权限的目录用下面的命令:

for PART in `awk '($3 == "ext2" || $3 == "ext3") \

{ print $2 }' /etc/fstab`; do

find / -xdev -type d \( -perm -0002 -a ! -perm -1000 \) -print

Done

基线符合性判定依据

若返回值非空,则低于安全要求;

备注

 

 

​​​​​​​查找任何人都有写权限的文件

安全基线项目名称

操作系统Linux文件写权限安全基线要求项

安全基线编号

SBL-Linux-02-02-06 

安全基线项说明  

文件系统-查找任何人都有写权限的文件

检测操作步骤

在系统中定位任何人都有写权限的文件用下面的命令:

for PART in `grep -v ^# /etc/fstab | awk '($6 != "0") {print $2 }'`; do

find $PART -xdev -type f \( -perm -0002 -a ! -perm -1000 \) -print

Done

基线符合性判定依据

若返回值非空,则低于安全要求;

备注

 

 

​​​​​​​检查没有属主的文件

安全基线项目名称

操作系统Linux文件所有权安全基线要求项

安全基线编号

SBL-Linux-02-02-07 

安全基线项说明  

文件系统-检查没有属主的文件

检测操作步骤

定位系统中没有属主的文件用下面的命令:

for PART in `grep -v ^# /etc/fstab | awk '($6 != "0") {print $2 }'`; do

find $PART -nouser -o -nogroup -print

done

注意:不用管“/dev”目录下的那些文件。

基线符合性判定依据

若返回值非空,则低于安全要求;

备注

补充操作说明

发现没有属主的文件往往就意味着有黑客入侵你的系统了。不能允许没有主人的文件存在。如果在系统中发现了没有主人的文件或目录,先查看它的完整性,如果一切正常,给它一个主人。有时候卸载程序可能会出现一些没有主人的文件或目录,在这种情况下可以把这些文件和目录删除掉。

 

​​​​​​​检查异常隐含文件

安全基线项目名称

操作系统Linux隐含文件安全基线要求项

安全基线编号

SBL-Linux-02-02-08 

安全基线项说明  

文件系统-检查异常隐含文件

检测操作步骤

用“find”程序可以查找到这些隐含文件。例如:

    # find  / -name ".. *" -print –xdev

    # find  / -name "…*" -print -xdev | cat -v

 同时也要注意象“.xx”和“.mail”这样的文件名的。(这些文件名看起来都很象正常的文件名)

基线符合性判定依据

若返回值非空,则低于安全要求;

 

 

​​​​​​​syslog登录事件记录

安全基线项目名称

操作系统Linux登录审计安全基线要求项

安全基线编号

SBL-Linux-03-01-01

安全基线项说明  

日志审计-syslog登录事件记录

检测操作步骤

执行命令:more /etc/syslog.conf

查看参数authpriv值

基线符合性判定依据

若未对所有登录事件都记录,则低于安全要求;

备注

 

 

​​​​​​​Syslog.conf的配置审核

安全基线项目名称

操作系统Linux配置审计安全基线要求项

安全基线编号

SBL-Linux-03-02-01

安全基线项说明  

日志审计-Syslog.conf的配置审核

检测操作步骤

执行:more /etc/syslog.conf,查看是否设置了下列项:

kern.warning;*.err;authpriv.none\t@loghost

*.info;mail.none;authpriv.none;cron.none\t@loghost

*.emerg\t@loghost

local7.*\t@loghost

基线符合性判定依据

若未设置,则低于安全要求;

备注

补充操作说明

建议配置专门的日志服务器,加强日志信息的异地同步备份

 

​​​​​​​系统core dump状态 

安全基线项目名称

操作系统Linux core dump 状态安全基线要求项

安全基线编号

SBL-Linux-04-01-01

安全基线项说明  

系统文件-系统core dump状态

检测操作步骤

执行:more /etc/security/limits.conf 检查是否包含下列项:

* soft core 0

* hard core 0

基线符合性判定依据

若不存在,则低于安全要求

备注

补充操作说明

core dump中可能包括系统信息,易被入侵者利用,建议关闭

 

 

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/206867.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

json转yolo格式

json转yolo格式 视觉分割得一些标注文件是json格式,比如,舌头将这个舌头区域分割出来(用mask二值图的形式),对舌头的分割第一步是需要检测出来,缺少数据集,可以使用分割出来的结果,将…

无公网IP环境如何SSH远程连接Deepin操作系统

文章目录 前言1. 开启SSH服务2. Deppin安装Cpolar3. 配置ssh公网地址4. 公网远程SSH连接5. 固定连接SSH公网地址6. SSH固定地址连接测试 前言 Deepin操作系统是一个基于Debian的Linux操作系统,专注于使用者对日常办公、学习、生活和娱乐的操作体验的极致&#xff0…

数据仪表盘设计:可视化数据指标和报告

写在开头 在信息爆炸的时代,数据不再是简单的数字和图表,而是一种有机的信息体系。如何将这些琳琅满目的数据以一种直观而高效的方式展示,成为企业决策者和分析师们共同关注的问题。本文将带您深入学习如何设计和创建数据仪表盘,使数据指标和报告以一目了然的方式呈现。 …

Python---time库

目录 时间获取 时间格式化 程序计时 time库包含三类函数: 时间获取:time() ctime() gmtime() 时间格式化:strtime() strptime() 程序计时:sleep() perf_counter() 下面逐一介绍&#…

H3.3K27M弥漫性中线胶质瘤的反义寡核苷酸治疗

今天给同学们分享一篇实验文章“Antisense oligonucleotide therapy for H3.3K27M diffuse midline glioma”,这篇文章发表在Sci Transl Med期刊上,影响因子为17.1。 结果解读: CRISPR-Cas9消耗H3.3K27M恢复了H3K27三甲基化,并延…

Echarts地图案例及常见问题

前言 ECharts 是一个使用 JavaScript 实现的开源可视化库,它可以帮助用户以简单的方式创建复杂的时间序列、条形图、饼图、地图等图形。 Echarts绘制地图的案例 展示了中国各省份的人口数量 var myChart = echarts.init(document.getElementById(main)); var option = {t…

【TailwindCSS】

TailwindCSS作为一种现代化的CSS框架,以其高度的定制性和灵活性受到前端开发者的青睐。本文旨在提供一份详细的TailwindCSS使用教程,特别适用于Vite和Vue框架的组合。 我们将从安装开始,深入探讨如何在项目中有效利用TailwindCSS的各项功能&…

在AWS Lambda上部署标准FFmpeg工具——Docker方案

大纲 1 确定Lambda运行时环境1.1 Lambda系统、镜像、内核版本1.2 运行时1.2.1 Python1.2.2 Java 2 启动EC23 编写调用FFmpeg的代码4 生成docker镜像4.1 安装和启动Docker服务4.2 编写Dockerfile脚本4.3 生成镜像 5 推送镜像5.1 创建存储库5.2 给EC2赋予角色5.2.1 创建策略5.2.2…

【带头学C++】----- 九、类和对象 ---- 9.10 C++设计模式之单例模式设计

❤️❤️❤️❤️❤️❤️❤️❤️❤️❤️❤️麻烦您点个关注,不迷路❤️❤️❤️❤️❤️❤️❤️❤️❤️❤️❤️❤️ 目 录 9.10 C设计模式之单例模式设计 举例说明: 9.10 C设计模式之单例模式设计 看过我之前的文章的,简单讲解过C/Q…

遥测终端机RTU:实现远程监测和控制的重要工具

遥测终端机RTU对设备进行远程监测和控制,支持采集和传输数据,以实现对工业过程、公用事业、水文和环境的监测和管理。 遥测终端机RTU工作原理 计讯物联遥测终端机RTU通过网口、串口进行传感器/设备等现场数据采集,将其转换为数字信号&#xf…

【LeetCode】202. 快乐数

202. 快乐数 难度:简单 题目 编写一个算法来判断一个数 n 是不是快乐数。 「快乐数」 定义为: 对于一个正整数,每一次将该数替换为它每个位置上的数字的平方和。然后重复这个过程直到这个数变为 1,也可能是 无限循环 但始终变…

高校网站建设的效果如何

高校有较高的信息承载需求、招生宣传、学校内容呈现、内部消息触达等需求,对高校来说,如今互联网深入生活各个场景,无论学校发展、外部拓展还是内部师生互动、通知触达等都需要完善。 除了传统传单及第三方平台展示外,学校构建属…

C#-数组池减少GC工作

数组池减少GC工作 通过ArrayPool类(名称空间System.Buffers)使用数组池,可减少垃圾收集器的工作,ArrayPool管理一个数组池,数组可以从这租借,并返回池中,内存在ArrayPool中管理。 创建ArrayPool…

Html5响应式全开源网站建站源码系统 附带完整的搭建教程

Html5响应式全开源网站建站源码系统是基于Html5、CSS3和JavaScript等技术开发的全开源网站建站系统。它旨在为初学者和小型企业提供一套快速、简便的网站建设解决方案。该系统采用响应式设计,可以自适应不同设备的屏幕大小,提高用户体验。同时&#xff0…

Clean My Mac X2024解锁完整版本

Clean My Mac X是Mac上一款美观易用的系统优化清理工具,也是小编刚开始用Mac时的装机必备。垃圾需要时时清,电脑才能常年新。Windows的垃圾清理工具选择有很多,但是Mac的清理工具可选择的就很少。 今天给大家推荐大名鼎鼎的Clean My Mac X&a…

elasticsearch-head 启动教程

D:\elasticsearch-head-master>grunt server ‘grunt’ 不是内部或外部命令,也不是可运行的程序 或批处理文件。 npm install -g grunt-clinpm install

Leetcode—190.颠倒二进制位【简单】

2023每日刷题&#xff08;五十二&#xff09; Leetcode—190.颠倒二进制位 算法思路 实现代码 class Solution { public:uint32_t reverseBits(uint32_t n) {uint32_t res 0;for(int i 0; i < 32 && n > 0; i) {res | (n & 1) << (31 - i);n >&…

【华为数据之道学习笔记】1-1非数字原生企业的特点

非数字原生企业的数字化转型挑战 软件和数据平台为核心的数字世界入口&#xff0c;便捷地获取和存储了大量的数据&#xff0c;并开始尝试通过机器学习等人工智能技术分析这些数据&#xff0c;以便更好地理解用户需求&#xff0c;增强数字化创新能力。部分数字原生企业引领着云计…

第二十一章,网络通信

网络协议 IP协议 IP是Internet Protocol的简称&#xff0c;是一种网络协议。Internet 网络采用的协议是TCP/IP协议&#xff0c;其全称是Transmission Control Protocol/Internet Protocol。Internet 依靠TCP/IP协议&#xff0c;在全球范围内实现了不同硬件结构、不同操作系统…

浅谈Android 14适配

引言 距离 Android 14 发布已经有一段时间了&#xff0c;趁着这次机会&#xff0c;了解和熟悉了 Android 14 更新的内容&#xff0c;现在来和大家分享一下&#xff0c;大家喜欢的话可以点个赞多多支持一下&#xff0c;文章的内容按照适配内容的重要程度进行排序。 targetSdk …