《如何讓主機合規分析報告評分達到90分？》要點：
本文介紹了如何讓主機合規分析報告評分達到90分？，希望對您有用。如果有疑問，可以聯系我們。

說明：本次文檔是根據某廠的主機合規分析報告內容進行整改的,整改后評分達到90分,本次試驗環境為Centos6.7.

????一、賬號管理

????1.1密碼鎖定策略

pam_tally2和pam_faillock?PAM 模塊都可以允許系統管理員鎖定在指定次數內登錄嘗試失敗的用戶賬戶.并在嘗試指定次數是進行鎖定,防止暴力破解.
檢查方法：
查看/etc/pam.d/system-auth和/etc/pam.d/password-auth是否包含下面選項auth ? ? ? ?required ? ? ?pam_tally2.so ?deny=3 onerr=fail no_magic_root unlock_time=180 even_deny_root root_unlock_time=10

修改方法：
修改/etc/pam.d/system-auth 文件和/etc/pam.d/password-auth 文件中的 auth

在指定的兩個文件中的 account 區段中添加以下命令行：

說明:

/etc/pam.d/login中配置只在本地文本終端上做限制；
/etc/pam.d/kde在配置時在kde圖形界面調用時限制；
/etc/pam.d/sshd中配置時在通過ssh連接時做限制；
/etc/pam.d/system-auth中配置凡是調用 system-auth 文件的服務,都會生效.

• deny 指定最大認證錯誤次數,如果超出此次數,將執行后面的策略.如鎖定N秒,如果后面沒有其他策略指定時,默認永遠鎖定,除非手動解鎖.
• lock_time 鎖定時長,按秒為單位；
• unlock_time 指定認證被鎖后,多長時間自動解鎖用戶；
• magic_root 如果用戶uid＝0(即root賬戶或相當于root的帳戶)在帳戶認證時調用該模塊發現失敗時,不計入統計；
• no_lock_time 不使用.fail_locktime項在/var/log/faillog 中記錄用戶 －－－按英文直譯不太明白,個人理解即不進行用戶鎖定；
• even_deny_root root用戶在認證出錯時,一樣被鎖定(該功能慎用,搞不好就要單用戶時解鎖了)
• root_unlock_time root用戶在失敗時,鎖定多長時間.該選項一般是配合even_deny_root 一起使用的.

測試

可人工將計數器清零：

? ? 1.2 密碼生存期

密碼生存期是另一個系統管理員用來保護在機構中防止不良密碼的技術.密碼有效期的意思就是在指定時段后(通常為 90 天),會提示用戶創建新密碼.它的理論基礎是如果強制用戶周期性修改其密碼,那么破解的密碼對與入侵者來說只在有限的時間內有用.密碼有效期的負面影響是用戶可能需要寫下這些密碼.

主要是修改下面三行的內容：

????1.3 密碼復雜度

由于管理員給用戶創建的密碼暴露,所以管理員都是讓用戶自己修改密碼,但還需要符合密碼的強度,在這種場景下,管理員可能會強制用戶定期更改密碼,防止密碼過期.
當用戶需要更改密碼時,為符合密碼強度,可使用pam_cracklib.so 這個PAM模塊來檢測用戶設置的密碼是否符合要求.

將上面的這行修改為下面的內容：

????1.4 刪除無關帳號

下面的系統自帶的賬號應該移除或鎖定.這類用戶的密碼列不是用*或者!!開頭的.

三類用戶：

超級用戶：擁有對系統的最高管理權限,缺省是root用戶.

普通用戶：只能對自己目錄下的文件進行訪問和修改,具有登錄系統的權限.

虛擬用戶：也叫“偽”用戶,這類用戶最大的特點是不能登錄系統,它們的存在主要是方便系統管理,滿足相應的系統進程對文件屬主的要求.

如果上面的這些用戶沒有被刪除或鎖定,可選用如下的三種操作：
4.1直接將用戶移除掉

4.2若不想將上述用戶移除,也可將其進行鎖定

4.3還可修改用戶的shell為/bin/false

執行下面的指令將上述用戶進行鎖定：

????1.5 口令重復次數限制

對于采用靜態口令認證技術的設備,應配置設備,使用戶不能重復使用最近五次(含五次)內已使用的口令.

將上面的這行密碼控制語句改為：

注意：NIS系統無法生效,非NIS系統或NIS+系統能夠生效.

????1.6 禁止管理組之外的用戶su為根用戶

注意：auth同sufficient之間由兩個tab建隔開,sufficient與動態庫路徑之間使用一個tab建隔開.

通常情況下,一般用戶通過執行su -命令,輸入正確的根用戶密碼,就能登錄成為根用戶.但是,為了更進一步加強安全性,有必要創建一個管理員組,只允許該組的用戶來執行su -命令登錄為根用戶,而使得其他組的用戶即使是執行了該指令、輸入了正確的密碼,也無法登錄為根用戶.這個組的名稱通常為wheel.
按照上面的方法修改后,普通用戶無法登錄為根用戶：

若希望該普通用戶能夠登錄為根用戶,需要將其加入到wheel組中：

????二、文件與目錄權限

????2.1文件與目錄缺省權限控制

首先要對操作的目標文件進行備份：

????2.2 配置用戶最小授權

????2.3 設置關鍵文件的屬性

使用命令查看messages文件是否只可追加不可修改：

a即append,設定該參數后,只能向文件中添加數據,而不能刪除.
如果一個用戶以root的權限登錄或者某個進程以root的權限運行,會保證messages文件不會被篡改,保證系統的相對安全.

????三、日志安全

????3.1 記錄安全事件日志

????3.2 日志文件安全

對權限>640的日志文件設定為640的權限.
檢測方法：
使用以下命令查看日志文件權限

找到這些權限有問題的日志文件后,對其進行修改權限的操作：

????四、系統服務

????4.1 限制root用戶SSH遠程登錄

檢測方法：

修改方法：
編輯/etc/ssh/sshd_config修改以下兩個選項

????4.2 登陸超時時間設置

檢測方法：

修改方法：
如果/etc/profile中有下面的兩行則按需要進行修改,沒有這兩行則寫入這兩行：

????4.3 清除潛在危險文件

要求系統中不能有這三個文件：.rhosts、.netrc、hosts.equiv.如果使用rlogin進行遠程登錄,就會需要這三個文件.通常情況下是沒有這三個文件的,因而該遠程登錄方法很少使用了.、
檢測方法：

修改方法：
需要刪除.rhosts、.netrc、hosts.equiv
如無應用,刪除以上文件
刪除前需要備份
mv .rhosts .rhosts.bak
mv .netrc.netrc.bak
mv hosts.equiv hosts.equiv.bak
執行刪除操作

????4.4 配置NFS服務限制

4.1檢測方法：
4.1.1查看系統是否存在如下NFS守護進程：

4.1.2查看NFS服務狀態：

4.1.3查看是否對NFS服務訪問做限制:

4.2判斷依據
4.2.1不存在與NFS有關的服務進程
4.2.2如果存在NFS守護進程,但/etc/hosts.allow設置了允許訪問NFS的遠程地址且/etc/hosts.deny設置了拒絕訪問NFS的遠程地址,二者滿足其一即可.

4.3修改方案：
4.3.1殺掉如下NFS進程：rpc.lockd ?rpc.nfsd rpc.statd rpc.mountd
4.3.2禁用NFS

4.3.4如需要NFS服務,設置限制能夠訪問NFS服務的IP范圍
編輯/etc/hosts.allow增加一行：
nfs:允許訪問的IP
編輯/etc/hosts.deny增加一行：
nfs:all

????五、網絡安全

????5.1禁止IP源路由

源路由是一種互聯網協議機制,可許可IP數據包攜帶地址列表的信息,以此分辨數據包沿途經過的路由器.通過某一路徑時,會出現一可選項,記錄為中間路徑.所列出的中間路徑,即路徑記錄,可提供返回至源路由路徑上的目的地.這就允許源路由可指定某一路徑,無論是嚴格的還是松散的,可忽略路徑列表上的一些或全部路由器.它可允許用戶惡意重定向網絡流量.因而,應禁用源路由.

????5.2控制遠程訪問的IP地址

首先執行備份：

檢查辦法：
查看/etc/hosts.allow?/etc/hosts.deny文件中是否設置IP范圍限制
修改辦法

????5.3禁止ICMP重定向

為何要關閉該功能,因為其會導致ICMP重定向攻擊,即利用ICMP路由公告功能,攻擊者使用該功能可改變攻擊目標的路由配置(可造成主機的網絡連接異常,被用于流量攻擊等嚴重后果).
檢測方法：

修改辦法：

????5.4對root為ls、rm設置別名

????5.5Update bash

確認bash的版本：

可直接使用Yum進行升級,但并不是最新的版本,若要升級到最新的版本,請進行編譯安裝升級.

原文來自微信公眾號：馬哥Linux運維

轉載請注明本頁網址：
http://www.snjht.com/jiaocheng/4290.html