redhat7.2安全基线BI
(一) Redhat linux7.2安全基线基本型(BI)
1. 密码复杂度策略
/etc/pam.d/system-auth文件中,增加内容
password requisite pam_cracklib.so ucredit=-1 lcredit=-1 dcredit=-1
(字体行距自己调整注:ucredit:大写字母个数;lcredit:小写字母个数;dcredit:数字个数;ocredit:特殊字符个数 )
2. 密码相关配置
vi /etc/login.defs (修改如下)
PASS_MIN_DAYS 0
PASS_MAX_DAYS 90
PASS_MIN_LEN 8
PASS_WARN_AGE 7(更改显示错误)
3. 检查用户umask设置
检查文件/etc/profile中umask设置 077
检查文件/etc/csh.login中umask设置 077
检查文件/etc/csh.cshrc中umask设置 077
检查文件/etc/bashrc(或/etc/bash.bashrc)中umask设置 077 待改(我们默认022)
4. 检查是否设置除root之外UID为0的用户
cat /etc/passwd | awk 'BEGIN {FS=":";ORS=","} {if($1~/^[[:space:]]*[^#]/)if($1!="root")if($3=="0")print$1}'
5. 检查是否存在空口令账号
cat /etc/shadow | awk 'BEGIN{FS=":";ORS=","}{if($2=="")print$1};'|more
6. 检查重要文件属性设置
检查/etc/gshadow文件属性
检查/etc/group文件属性
检查/etc/passwd文件属性
检查/etc/shadow文件属性
chattr +i /etc/gshadow
lsattr /etc/gshadow
7. 检查重要目录或文件权限设置
/etc/xinetd.conf未安装
chmod 600 /etc/security
chmod 644 /etc/services
chmod 750 /etc/rc1.d/
chmod 750 /etc/rc0.d
chmod 750 /etc/rc4.d
chmod 750 /etc/rc2.d
chmod 750 /etc/rc3.d
chmod 750 /etc/rc5.d
chmod 750 /etc/rc6.d
chmod 644 /etc/group
chmod 750 /etc/
chmod 750 /etc/rc.d/init.d
chmod 750 /tmp
chmod 644 /etc/passwd
chmod 400 /etc/shadow
8. 限制用户使用SU命令切换root
编辑 su 文件(vi /etc/pam.d/su),在开头添加下面两行:
auth sufficient pam_rootok.so 和
auth required pam_wheel.so group=wheel
这表明只有 wheel 组的成员可以使用 su 命令成为 root 用户
添加方法为:
usermod –G wheel username
9. 删除潜在危险文件
删除用户 .netrc,.rhosts,.hosts.equiv 文件, 控制用户对资源的访问
l 执行命令find / -maxdepth 3 -name .netrc 2>/dev/null (没有就跳过)
l 进入到.netrc文件存在的目录
l 执行命令:mv .netrc .netrc.bak
10. 检查历史命令设置
编辑文件/etc/profile,
修改HISTSIZE配置为5
HISTSIZE=5
11. 检查是否记录用户对设备的操作
通过设置日志文件可以对每个用户的每一条命令进行记录,这一功能默认是不开放的,为了打开它,需要安装pacct工具,并执行以下命令:
#touch /var/log/pacct
#accton /var/log/pacct
执行读取命令lastcomm [user name] -f /var/log/pacct
12. 检查安全事件日志配置
编辑/etc/rsyslog.conf
配置:
*.err;kern.debug;daemon.notice /var/adm/messages
其中/var/adm/messages为日志文件。
如果该文件不存在,则创建该文件,命令为:
touch /var/adm/messages, 并修改权限为666.命令为:chmod 666 /var/adm/messages.
重启日志服务:
# systemctl restart rsyslog.service
13. 检查是否配置su命令使用情况记录
编辑/etc/rsyslog.conf,
配置:
authpriv.* /var/log/secure
14. 检查是否禁止root用户远程登录
修改/etc/ssh/sshd_config文件,。
#vim /etc/ssh/sshd_config
配置PermitRootLogin no
15. 检查是否设置命令行界面超时退出
#vi /etc/profile (增加如下)
#export TMOUT=600 (单位:秒)
16. 检查 passwd 和 group 文件中是否有不合法的'+' 参数存在
检查 passwd 和 group 文件中是否有不合法的'+' 参数存在
cat /etc/passwd | grep ‘*+*’
cat /etc/passwd | grep ‘*+*’
17. 设置用户登录访问的安全提示信息
l 检查方法
方法1、通过cat命令检查/etc/motd和/etc/issue文件中的banner信息;
方法2、使用SSH远程登录的方式,检查是否会出现warning的信息。
l 增加方法
编辑修改/etc/issue和/etc/motd文件,增加如下内容:
“Authorized users only. All activity may be monitored and reported”
l 修改/etc/issuse和/etc/motd的文件属主和属组:
chown root:sys /etc/motd
chown root:root /etc/issue
redhat7.2安全基线BI的更多相关文章
- 一起学微软Power BI系列-使用技巧(5)自定义PowerBI时间日期表
1.日期函数表作用 经常使用Excel或者PowerBI,Power Pivot做报表,时间日期是一个重要的纬度,加上做一些钻取,时间日期函数表不可避免.所以今天就给大家分享一个自定义的做日期表的方法 ...
- 一起学微软Power BI系列-使用技巧(4)Power BI中国版企业环境搭建和帐号问题
千呼万唤的Power BI中国版终于落地了,相信12月初的微软技术大会之后已经铺天盖地的新闻出现了,不错,Power BI中国版真的来了,但还有些遗憾,国际版的一些重量级服务如power bi emb ...
- 一起学微软Power BI系列-使用技巧(3)Power BI安卓手机版安装与体验
Power BI有手机版,目前支持安卓,苹果和WP,不过没有WP手机,苹果在国内还不能用,要FQ和用就不测试了.安卓的我也也是费了九牛二虎之力才把app下载下来,把方法分享给大家. FQ太麻烦,所以建 ...
- Power BI官方视频(3) Power BI Desktop 8月份更新功能概述
Power BI Desktop 8月24日发布了更新版本.现将更新内容翻译整理如下,可以根据后面提供的链接下载最新版本使用. 1.主要功能更新 1.1 数据钻取支持在线版 以前的desktop中进行 ...
- 一起学微软Power BI系列-使用技巧(1)连接Oracle与Mysql数据库
说起Oracle数据库,以前没用过Oracle不知道,但是这1年用Oracle后,发现真的是想狂吐槽,特别是那个.NET驱动和链接字符串,特别奇葩.总归是和其他数据库不一样,标新立异,不知道为何.另外 ...
- 千呼万唤始出来,微软Power BI简体中文版官网终于上线了,中文文档也全了。。
前几个月时间,研究微软Power BI技术,由于没有任何文档和资料,只能在英文官网瞎折腾,同时也发布了英文文档的相关文章:系列文章,刚好上周把文章发布完,结果简体中文版上线了.哈哈,心里有苦啊,早知道 ...
- 微软新神器-Power BI横空出世,一个简单易用,还用得起的BI产品,你还在等什么???
在当前互联网,由于大数据研究热潮,以及数据挖掘,机器学习等技术的改进,各种数据可视化图表层出不穷,如何让大数据生动呈现,也成了一个具有挑战性的可能,随之也出现了大量的商业化软件.今天就给大家介绍一款逆 ...
- 太多选择——企业如何选择合适的BI工具?
在没认清现状前,企业当然不能一言不合就上BI. BI不同于一般的企业管理软件,不能简单归类为类似用于提高管理的ERP和WMS,或用于提高企业效率的OA.BPM.BI的本质应该是通过展现数据,用于加强企 ...
- 【转】 FineBI:自助式BI工具打造业务分析的“快与准”
如今的企业经营方式,业务对于数据分析有极大的需求,但却苦于没有数据以及工具的有效支持,业务分析仍就依赖于IT报表制作.而IT方不断地按业务需求去调研.确认业务逻辑,然后取数做报表,其中还要忍受业务的需 ...
随机推荐
- 01day
01 cpu 内存 硬盘 操作系统 CPU:中央处理器,相当于人大脑. (运行速度飞机) 内存:临时存储数据. 8g,16g, (高铁) 1,成本高. 2,断电即消 ...
- centos7磁盘在线扩容
1.添加新磁盘 2.fdisk -l查看磁盘被识别的名称 3.如果输入fdisk -l命令没有找到新的磁盘,按下面步骤操作 1)进入到cd /sys/class/scsi_host/ 2)echo & ...
- vc调试不能入断点
确保输出目录和中间目录在同一个文件夹:
- java8新特性--Stream的基本介绍和使用
什么是Stream? Stream是一个来自数据源的元素队列并可以进行聚合操作. 数据源:流的来源. 可以是集合,数组,I/O channel, 产生器generator 等 聚合操作:类似SQL语句 ...
- Mac系统显示隐藏文件及文件夹
显示隐藏文件 终端 输入如下命令,回车即可: defaults write com.apple.finder AppleShowAllFiles -boolean true ; killall Fin ...
- Kubernetes实战(一):k8s v1.11.x v1.12.x 高可用安装
说明:部署的过程中请保证每个命令都有在相应的节点执行,并且执行成功,此文档已经帮助几十人(仅包含和我取得联系的)快速部署k8s高可用集群,文档不足之处也已更改,在部署过程中遇到问题请先检查是否遗忘某个 ...
- eclipse打包jar包
项目右键 选择Export 选择java文件夹 选择 JAR file选择包,类,选择导出路径然后 Finish
- Java 基础 IO流(转换流,缓冲)
一,前言 在学习字符流(FileReader.FileWriter)的时候,其中说如果需要指定编码和缓冲区大小时,可以在字节流的基础上,构造一个InputStreamReader或者OutputStr ...
- Python基础(十二) 类私有成员和保护成员
python中的protected和private python中用 _var :变量名前一个下划线来定义,此变量为保护成员protected,只有类及其子类可以访问.此变量不能通过from XXX ...
- 大数据Spark+Kafka实时数据分析案例
本案例利用Spark+Kafka实时分析男女生每秒购物人数,利用Spark Streaming实时处理用户购物日志,然后利用websocket将数据实时推送给浏览器,最后浏览器将接收到的数据实时展现, ...