檢查裝置密碼複雜度策略
1. 檢查密碼複雜度策略中設定的大寫字母個數
2. 檢查密碼複雜度策略中設定的數字個數
3. 檢查密碼複雜度策略中設定的特殊字元個數
4. 檢查密碼複雜度策略中設定的小寫字母個數
redhat系統:修改/etc/pam.d/system-auth檔案,
suse9:修改/etc/pam.d/passwd檔案,
suse10,suse11:修改/etc/pam.d/common-password檔案,
在ucredit=-1 lcredit=-1 dcredit=-1 ocredit=-1 選3種,追加到password requisite pam_cracklib.so後面,新增到配置檔案中。
例如:password requisite pam_cracklib.so ucredit=-1 lcredit=-1 dcredit=-1
注:ucredit:大寫字母個數;lcredit:小寫字母個數;dcredit:數字個數;ocredit:特殊字元個數
檢查是否設定口令生存週期
在檔案/etc/login.defs中設定 pass_max_days 不大於標準值90
檢查口令最小長度
在檔案/etc/login.defs中設定 pass_min_len 不小於標準值12
檢查是否存在空口令賬號
按照密碼設定策略設定非空密碼 命令: passwd [option...]
檢查是否對登入進行日誌記錄
登入日誌檔案為/var/log/wtmp,/var/log/utmp.這2個檔案中記錄著所有登入過主機的使用者,時間,**等內容,這個檔案不具可讀性,可用last命令來看。
檢查安全事件日誌配置
1. 檢查syslog-ng是否配置安全事件日誌
2. 檢查rsyslog是否配置安全事件日誌
3. 檢查syslog是否配置安全事件日誌
檢查使用ip協議遠端維護的裝置是否配置ssh協議,禁用telnet協議
對於使用ip協議進行遠端維護的裝置,應配置使用ssh協議
對於使用ip協議進行遠端維護的裝置,應禁止使用telnet協議, 在/etc/services檔案中,注釋掉 telnet 23/tcp 一行(如不生效重啟telnetd服務或xinetd服務或系統,例如,red hat 上重啟xinetd:service xinetd restart,根據實際情況操作)
檢查是否禁止匿名使用者登入ftp
禁止匿名wu-ftp使用者登入,在/etc/passwd檔案中,刪除ftp使用者
檢查是否修改snmp預設團體字
檢查是否安裝snmp服務, 如果系統未安裝snmp服務,則認為合規。
檢查配置檔案/etc/snmp/snmpd.conf是否存在,如果系統安裝了snmp服務,請確保該檔案存在。如果不存在,則在/etc/snmp/目錄下建立該檔案。
檢查是否禁止root使用者登入ftp
禁止root登入wu-ftp, 在/etc/ftpusers檔案中加入一行 root
檢查是否關閉不必要的服務和埠
檢查密碼重複使用次數限制
檢查是否禁用不必要的系統服務
檢視所有開啟的服務:
#ps aux
禁用xinetd.d 目錄中不用的服務:
#vi /etc/xinetd.d/servicename
將服務檔案裡面的disable設定為disable=yes重啟xinetd服務,即可。
要直接關閉某個服務,如sshd可用如下命令:
# /etc/init.d/sshd stop #關閉正在執行的sshd服務
補充操作說明
關閉下列不必要的基本網路服務。
chargen-dgram daytime-stream echo-streamklogin tcpmux-server chargen-stream discard-dgram eklogin krb5-telnet tftp cvs discard-stream ekrb5-telnet kshell time-dgram daytime-dgram echo-dgram gssftp rsync time-stream
檢查是否配置ssh方式賬戶認證失敗次數限制
Linux安全檢查方法
檢查系統密碼檔案,檢視檔案修改日期 root fedora ls l etc passwd 檢視passwd檔案中有哪些特權使用者 root fedora awk f 3 0 etc passwd 檢視系統裡有沒有空口令帳戶 awk f length 2 0 etc shadow 檢查系統守護程序 ...
Linux安全檢查方法
檢查系統密碼檔案,檢視檔案修改日期 ls l etc passwd 檢視passwd檔案中有哪些特權使用者 awk f 3 0 etc passwd 檢視系統裡有沒有空口令帳戶 awk f length 2 0 etc shadow 檢查系統守護程序 cat etc inetd.conf grep ...
linux安全檢查配置
1.ga等客戶要求關閉匿名ftp服務 使用anonymous使用者,手工登入伺服器報錯 530 permission denied。即可。vsftpd.ftpusers 位於 etc vsftpd目錄下。它指定了哪些使用者賬戶不能訪問ftp伺服器,例如anonymous等。確保anonymous v...