(一)   Redhat linux7.2安全基线基本型(BI)

1.   密码复杂度策略

/etc/pam.d/system-auth文件中,增加内容

password requisite pam_cracklib.so ucredit=-1 lcredit=-1 dcredit=-1

(字体行距自己调整注:ucredit:大写字母个数;lcredit:小写字母个数;dcredit:数字个数;ocredit:特殊字符个数 )

2.   密码相关配置

vi /etc/login.defs  (修改如下)

PASS_MIN_DAYS 0

PASS_MAX_DAYS 90

PASS_MIN_LEN 8

PASS_WARN_AGE 7(更改显示错误)

3.   检查用户umask设置

检查文件/etc/profile中umask设置 077

检查文件/etc/csh.login中umask设置 077

检查文件/etc/csh.cshrc中umask设置 077

检查文件/etc/bashrc(或/etc/bash.bashrc)中umask设置 077  待改(我们默认022)

4.   检查是否设置除root之外UID为0的用户

cat /etc/passwd | awk 'BEGIN {FS=":";ORS=","} {if($1~/^[[:space:]]*[^#]/)if($1!="root")if($3=="0")print$1}'

5.   检查是否存在空口令账号

cat  /etc/shadow | awk 'BEGIN{FS=":";ORS=","}{if($2=="")print$1};'|more

6.   检查重要文件属性设置

检查/etc/gshadow文件属性

检查/etc/group文件属性

检查/etc/passwd文件属性

检查/etc/shadow文件属性

chattr +i /etc/gshadow

lsattr /etc/gshadow

7.   检查重要目录或文件权限设置

/etc/xinetd.conf未安装

chmod 600 /etc/security

chmod 644 /etc/services

chmod 750 /etc/rc1.d/

chmod 750 /etc/rc0.d

chmod 750 /etc/rc4.d

chmod 750 /etc/rc2.d

chmod 750 /etc/rc3.d

chmod 750 /etc/rc5.d

chmod 750 /etc/rc6.d

chmod 644 /etc/group

chmod 750 /etc/

chmod 750 /etc/rc.d/init.d

chmod 750 /tmp

chmod 644 /etc/passwd

chmod 400 /etc/shadow

8.   限制用户使用SU命令切换root

编辑 su 文件(vi /etc/pam.d/su),在开头添加下面两行:

auth sufficient pam_rootok.so 和

auth required pam_wheel.so group=wheel

这表明只有 wheel 组的成员可以使用 su 命令成为 root 用户

添加方法为:

usermod –G wheel username

9.   删除潜在危险文件

删除用户 .netrc,.rhosts,.hosts.equiv 文件, 控制用户对资源的访问

l  执行命令find / -maxdepth 3 -name .netrc 2>/dev/null  (没有就跳过)

l  进入到.netrc文件存在的目录

l  执行命令:mv .netrc .netrc.bak

10. 检查历史命令设置

编辑文件/etc/profile,

修改HISTSIZE配置为5

HISTSIZE=5

11. 检查是否记录用户对设备的操作

通过设置日志文件可以对每个用户的每一条命令进行记录,这一功能默认是不开放的,为了打开它,需要安装pacct工具,并执行以下命令:

#touch /var/log/pacct

#accton /var/log/pacct

执行读取命令lastcomm [user name] -f /var/log/pacct

12. 检查安全事件日志配置

编辑/etc/rsyslog.conf

配置:

*.err;kern.debug;daemon.notice  /var/adm/messages

其中/var/adm/messages为日志文件。

如果该文件不存在,则创建该文件,命令为:

touch /var/adm/messages, 并修改权限为666.命令为:chmod 666 /var/adm/messages.

重启日志服务:

# systemctl restart rsyslog.service

13. 检查是否配置su命令使用情况记录

编辑/etc/rsyslog.conf,

配置:

authpriv.* /var/log/secure

14. 检查是否禁止root用户远程登录

修改/etc/ssh/sshd_config文件,。

#vim  /etc/ssh/sshd_config

配置PermitRootLogin no

15. 检查是否设置命令行界面超时退出

#vi /etc/profile  (增加如下)

#export TMOUT=600   (单位:秒)

16. 检查 passwd 和 group 文件中是否有不合法的'+' 参数存在

检查 passwd 和 group 文件中是否有不合法的'+' 参数存在

cat /etc/passwd | grep ‘*+*’

cat /etc/passwd | grep ‘*+*’

17. 设置用户登录访问的安全提示信息

l  检查方法

方法1、通过cat命令检查/etc/motd和/etc/issue文件中的banner信息;

方法2、使用SSH远程登录的方式,检查是否会出现warning的信息。

l  增加方法

编辑修改/etc/issue和/etc/motd文件,增加如下内容:

“Authorized users only. All activity may be monitored and reported”

l  修改/etc/issuse和/etc/motd的文件属主和属组:

chown root:sys /etc/motd

chown root:root /etc/issue

redhat7.2安全基线BI的更多相关文章

  1. 一起学微软Power BI系列-使用技巧(5)自定义PowerBI时间日期表

    1.日期函数表作用 经常使用Excel或者PowerBI,Power Pivot做报表,时间日期是一个重要的纬度,加上做一些钻取,时间日期函数表不可避免.所以今天就给大家分享一个自定义的做日期表的方法 ...

  2. 一起学微软Power BI系列-使用技巧(4)Power BI中国版企业环境搭建和帐号问题

    千呼万唤的Power BI中国版终于落地了,相信12月初的微软技术大会之后已经铺天盖地的新闻出现了,不错,Power BI中国版真的来了,但还有些遗憾,国际版的一些重量级服务如power bi emb ...

  3. 一起学微软Power BI系列-使用技巧(3)Power BI安卓手机版安装与体验

    Power BI有手机版,目前支持安卓,苹果和WP,不过没有WP手机,苹果在国内还不能用,要FQ和用就不测试了.安卓的我也也是费了九牛二虎之力才把app下载下来,把方法分享给大家. FQ太麻烦,所以建 ...

  4. Power BI官方视频(3) Power BI Desktop 8月份更新功能概述

    Power BI Desktop 8月24日发布了更新版本.现将更新内容翻译整理如下,可以根据后面提供的链接下载最新版本使用. 1.主要功能更新 1.1 数据钻取支持在线版 以前的desktop中进行 ...

  5. 一起学微软Power BI系列-使用技巧(1)连接Oracle与Mysql数据库

    说起Oracle数据库,以前没用过Oracle不知道,但是这1年用Oracle后,发现真的是想狂吐槽,特别是那个.NET驱动和链接字符串,特别奇葩.总归是和其他数据库不一样,标新立异,不知道为何.另外 ...

  6. 千呼万唤始出来,微软Power BI简体中文版官网终于上线了,中文文档也全了。。

    前几个月时间,研究微软Power BI技术,由于没有任何文档和资料,只能在英文官网瞎折腾,同时也发布了英文文档的相关文章:系列文章,刚好上周把文章发布完,结果简体中文版上线了.哈哈,心里有苦啊,早知道 ...

  7. 微软新神器-Power BI横空出世,一个简单易用,还用得起的BI产品,你还在等什么???

    在当前互联网,由于大数据研究热潮,以及数据挖掘,机器学习等技术的改进,各种数据可视化图表层出不穷,如何让大数据生动呈现,也成了一个具有挑战性的可能,随之也出现了大量的商业化软件.今天就给大家介绍一款逆 ...

  8. 太多选择——企业如何选择合适的BI工具?

    在没认清现状前,企业当然不能一言不合就上BI. BI不同于一般的企业管理软件,不能简单归类为类似用于提高管理的ERP和WMS,或用于提高企业效率的OA.BPM.BI的本质应该是通过展现数据,用于加强企 ...

  9. 【转】 FineBI:自助式BI工具打造业务分析的“快与准”

    如今的企业经营方式,业务对于数据分析有极大的需求,但却苦于没有数据以及工具的有效支持,业务分析仍就依赖于IT报表制作.而IT方不断地按业务需求去调研.确认业务逻辑,然后取数做报表,其中还要忍受业务的需 ...

随机推荐

  1. 01day

    01 cpu 内存 硬盘 操作系统  CPU:中央处理器,相当于人大脑.   (运行速度飞机)   内存:临时存储数据. 8g,16g,          (高铁)   1,成本高.   2,断电即消 ...

  2. centos7磁盘在线扩容

    1.添加新磁盘 2.fdisk -l查看磁盘被识别的名称 3.如果输入fdisk -l命令没有找到新的磁盘,按下面步骤操作 1)进入到cd /sys/class/scsi_host/ 2)echo & ...

  3. vc调试不能入断点

    确保输出目录和中间目录在同一个文件夹:

  4. java8新特性--Stream的基本介绍和使用

    什么是Stream? Stream是一个来自数据源的元素队列并可以进行聚合操作. 数据源:流的来源. 可以是集合,数组,I/O channel, 产生器generator 等 聚合操作:类似SQL语句 ...

  5. Mac系统显示隐藏文件及文件夹

    显示隐藏文件 终端 输入如下命令,回车即可: defaults write com.apple.finder AppleShowAllFiles -boolean true ; killall Fin ...

  6. Kubernetes实战(一):k8s v1.11.x v1.12.x 高可用安装

    说明:部署的过程中请保证每个命令都有在相应的节点执行,并且执行成功,此文档已经帮助几十人(仅包含和我取得联系的)快速部署k8s高可用集群,文档不足之处也已更改,在部署过程中遇到问题请先检查是否遗忘某个 ...

  7. eclipse打包jar包

    项目右键  选择Export 选择java文件夹 选择 JAR file选择包,类,选择导出路径然后 Finish

  8. Java 基础 IO流(转换流,缓冲)

    一,前言 在学习字符流(FileReader.FileWriter)的时候,其中说如果需要指定编码和缓冲区大小时,可以在字节流的基础上,构造一个InputStreamReader或者OutputStr ...

  9. Python基础(十二) 类私有成员和保护成员

    python中的protected和private python中用 _var :变量名前一个下划线来定义,此变量为保护成员protected,只有类及其子类可以访问.此变量不能通过from XXX ...

  10. 大数据Spark+Kafka实时数据分析案例

    本案例利用Spark+Kafka实时分析男女生每秒购物人数,利用Spark Streaming实时处理用户购物日志,然后利用websocket将数据实时推送给浏览器,最后浏览器将接收到的数据实时展现, ...