谈谈企业--RedHat Linux操作系统安装配置规范

时间:2017-03-08 01:18:41   收藏:0   阅读:1164

1、谈谈规范的那些事

# echo "install usb-storage /bin/true" >>/etc/modprobe.d/usb-storage.conf


必须禁止Control+Alt+Delete直接重启服务器:


# sed -i ‘s/^start oncontrol-alt-delete/#start on control-alt-delete/g‘ /etc/init/control-alt-delete.conf

      1.8    口令策略设置

口令复杂度规定

密码复杂性配置应满足如下要求

l  密码长度至少为8位,且含有如下字符类型中的四种:

  英语大写字母 A, B, C, … Z

  英语小写字母 a, b, c, … z

  西方阿拉伯数字 0, 1, 2, … 9

  非字母数字字符,如标点符号,@, #, $, %, &, *

l  密码历史为10次,是指修改口令时禁止使用最近10次已使用过的密码口令(己使用过的口令会被保存在 /etc/security/opasswd 下面)。

  RedHat Enterprise Linux Server 56:

# sed -i‘/^password[[:space:]]\{1,\}requisite[[:space:]]\{1,\}pam_cracklib.so/a\password    required      pam_pwhistory.so use_authtok remember=10enforce_for_root‘ /etc/pam.d/system-auth-ac

口令有效期规定

所有用户应满足如下用户口令策略,对于其他用户,如无特殊要求,建议采用。修改/etc/login.defs文件,修改如下参数的值:

l  PASS_MAX_DAYS   90 (最长期限90天)

l  PASS_MIN_DAYS   1   (最短期限1天)

l  PASS_MIN_LEN    8   (最少8个字符)

l  PASS_WARN_AGE   7   (提前7天提示密码修改)

  RedHat Enterprise Linux Server 56:

# sed -i"s/^\(password[[:space:]]*requisite[[:space:]]*pam_cracklib.so\).*/\1try_first_pass retry=6 minlen=8 dcredit=-1 ucredit=-1 ocredit=-1 lcredit=-1enforce_for_root/g" /etc/pam.d/system-auth-ac

2.1    UID 0用户设置

系统应禁止除root用户及qadmsom之外UID0的用户。

系统中每一个用户都被分配一个用户ID号,ID 号为 0 是为 root 保留的,UID 1-499 是为系统其它预定义的帐号保留的,UID0拥有系统的最高特权,为了系统安全需要封存root账号,采用qadmsom账户进行日常管理,应保证只有rootqadmsom用户的UID0

检查方法:

# awk -F: ‘($3 == 0) {print $1 }‘ /etc/passwd

返回值包括“root”和“qadmsom”以外的条目,则应修正。


2.2   系统登录安全设置

    针对系统登录进行加固,提升系统安全性。具体修改如下:

l  避免记录不存在用户的登录信息,避免用户误输入导致密码泄露

# echo"LOG_UNKFAIL_ENAB        yes">> /etc/login.defs

l  配置用户密码尝试次数为6次,超过6次后用户锁定,避免暴力破解

# echo"LOGIN_RETRIES           6"  >> /etc/login.defs

l  记录用户上次登录时间,用户登录时给予提示

# echo "LASTLOG_ENAB           yes" >> /etc/login.defs


2.3    系统全局PROFILE安全设置

l  配置系统超时自动退出,建议配置成300

# echo "exportTMOUT=300" >> /etc/profile

l  配置命令历史记录条数为5000

# echo "exportHISTFILESIZE=5000 " >> /etc/profile

l  连续6次输错密码禁用一段时间,建议配置成300

    

RedHat Enterprise Linux Server 6:

# sed -i‘/auth[[:space:]]*required[[:space:]]*pam_env.so/a\auth        required      pam_tally2.so onerr=fail deny=6unlock_time=300 even_deny_root root_unlock_time=300‘ /etc/pam.d/system-auth-ac

# sed -i ‘/account[[:space:]]*required[[:space:]]*pam_unix.so/i\account     required      pam_tally2.so‘ /etc/pam.d/system-auth-ac

# sed -i‘/auth[[:space:]]*required[[:space:]]*pam_env.so/a\auth        required      pam_tally2.so onerr=fail deny=6unlock_time=300 even_deny_root root_unlock_time=300‘/etc/pam.d/password-auth-ac

# sed -i‘/account[[:space:]]*required[[:space:]]*pam_unix.so/i\account     required      pam_tally2.so‘/etc/pam.d/password-auth-ac

l  用户默认的umask值为022,不应修改



2.4    删除rhost相关高风险文件

rcprshrlogin等远程拷贝和登录命令会使用rshost相关文件,这些命令存在较高风险,应禁止使用,并在实际使用中用scp, ssh等命令替代。其相关配置文件应该删除。

         删除命令如下:

# rm  /root/.rhosts  /root/.shosts  /etc/hosts.equiv  /etc/shosts.equiv

如非特殊需要,应用管理员需要以应用账号登陆,需要使用特权指令时,使用sudo权限。使用以下方法来配置sudo权限:

# visudo

例如:赋予oracle用户使用fdisk命令的权限,在visudo命令打开的配置文件最后添加:

#创建alias PRIVUSERS 然后添加 sudo 用户oracle,这样可以使多个用户有相同的权限

User_AliasPRIVUSERS = oracle

#创建 alias PRIVSERVICES 这样便于以后可以添加多个命令

Cmnd_AliasPRIVSERVICES = /sbin/fdisk

#指定之前创建的alias给指定的用户/用户组

PRIVUSERSALL=(ALL) PRIVSERVICES

sudo使用方法:

oracle用户在运行命令前加sudo,然后输入oracle用户的密码(非root密码)

oracle$sudo /sbin/fdisk -l





本文出自 “一杯水” 博客,谢绝转载!

评论(0
© 2014 mamicode.com 版权所有 京ICP备13008772号-2  联系我们:gaon5@hotmail.com
迷上了代码!