安全测评
本配置按照64位redhat5.5操作系统测试
密码长度、复杂度 (对于新增用户有效,已有账号无效)
vi /etc/login.defs PASS_MAX_DAYS
99 最大有效天数 PASS_MIN_DAYS
0 PASS_MIN_LEN
8 最小修改天数
最小长度
PASS_WARN_AGE
7 警告期限
多次密码认证错误锁定(tty认证有效,即终端)
vi /etc/pam.d/system-auth auth required pam_env.so 必须配置该模块认证之后
auth required pam_tally2.so even_deny_root deny=5unlock_time=600 root_unlock_time=120
5次密码尝试,普通账号锁定5分钟,root账号锁定2分钟
even_deny_root deny
unlock_time 也限制root用户;
设置普通用户和root用户连续错误登陆的最大次数,超过则锁定; 设定普通用户锁定后,多少时间后解锁,单位是秒;
root_unlock_time 设定root用户锁定后,多少时间后解锁,单位是秒;
此处使用的是 pam_tally2模块,如果不支持 pam_tally2 可以使用 pam_tally 模块。另外,不同的pam版本,设置可能有所不同,具体使用方法,可以参照相关模块的使用规则
登陆认证修改
vi /etc/pam.d/gdm vi /etc/pam.d/hd
图形化界面登录 远程h登录
vi /etc/pam.d/login 其他远程登录
auth
required
pam_tally2.so
onerr=fail deny=5 unlock_time=300 even_deny_rootroot_unlock_time=120
5次密码尝试,普通账号锁定5分钟,root账号锁定2分钟
删除多余 auth required xxxxx 密码复杂度设置
vi /etc/pam.d/system-auth pawordrequisite
pam_cracklib.so
retry=5 difok=3 minlen=8 ucredit=-1 lcredit=-1 dcredit=-1 dictpath=/usr/share/cracklib/pw_dict
retry=N:重试多少次后返回密码修改错误 difok=N:新密码必需与旧密码不同的位数c dcredit=N: N >= 0:密码中最多有多少个数字;N
mincla=N:密码组成(大/小字母,数字,特殊字符)
关闭多余服务
service sendmail stop
关闭服务 关闭开机启动 chkconfig sendmail off
vi /etc/hosts.allow
hd:10.93.40.:allow hd:all:deny
vi /etc/hosts.allow hd:10.93.221.:allow hd:all:deny
rpm -Uvh openh*.rpm
修改h版本
vi /etc/h/hd_config Protocol 2
rpm -e openh-askpa-4.3p2-29.el5 限制h登陆IP地址
另加WEB层、APP层服务器段
允许网段
安装h 5.2 安装包存放于/home下
禁用ftp匿名,及其他账户
vi /etc/vsftpd/vsftpd.conf
anonynous=NO
禁用匿名 vi /etc/vsftpd/ftpusers ftp
pawd -l ftp
TMOUT时间设置
vi /etc/profile HISTSIZE=100 TMOUT=120
保留的历史命令行数
连接超时,空闲120秒自动断开 ----------- 修改部分文件权限
chmod 700 /etc/rc.d/init.d/* chmod 400 /var/log/faillog chmod 600 /var/log/lastlog
添加a标记
lsattr
chattr +a /etc/log/ *
Xrog.0.log 三个文件不改 Xrog.0.log.old
tallylog
chattr -a /etc/log/....