1./etc/motd

操作:echo " Authorized users only. All activity may be monitored and reported " > /etc/motd

效果:telnet和ssh登录后的输出信息

2. /etc/issue和/etc/issue.net

操作:echo " Authorized users only. All activity may be monitored and reported " > /etc/issue.net

效果:telnet主机未登录时输出的信息

3./etc/syslog.conf--远程日志服务配置文件

4./etc/sysctl.conf--操作系统配置文件

5./etc/vsftpd/vsftpd.conf--vsftpd配置文件

6./etc/ssh/sshd_config--ssh配置文件

7./etc/hosts.allow和/etc/hosts.deny--服务连接白名单/黑名单文件

8./etc/pam.d/system-auth--系统登录验证配置文件

9./etc/init/control-alt-delete.conf--ctrl+alt+del快捷键启用/禁用

10./etc/profile--环境变量配置文件,通常用于配置UMASK和TMOUT

11./etc/login.defs--口令(长度及有效时长等)配置文件

12.基线合规配置脚本(IP注意修改)

MDFDATE=`date +"%Y%m%d"`

#add telnet and ssh banner

cp -p /etc/motd /etc/motd.bak${MDFDATE}

cp -p /etc/issue /etc/issue.bak${MDFDATE}

cp -p /etc/issue.net /etc/issue.net.bak${MDFDATE}

echo " Authorized users only. All activity may be monitored and reported " > /etc/motd

echo " Authorized users only. All activity may be monitored and reported " > /etc/issue

echo " Authorized users only. All activity may be monitored and reported " > /etc/issue.net

#/etc/init.d/xinetd restart

#set ftp default right

cp -p /etc/vsftpd/vsftpd.conf /etc/vsftpd/vsftpd.conf.bak${MDFDATE}

sed -i 's/#ls_recurse_enable=/ls_recurse_enable=/g' /etc/vsftpd/vsftpd.conf

echo "anon_umask=022" >> /etc/vsftpd/vsftpd.conf

#vsftpd

sed -i '/^anonymous_enable=YES/d' /etc/vsftpd/vsftpd.conf

echo 'anonymous_enable=NO' >> /etc/vsftpd/vsftpd.conf

sed -i '/^chroot_local_user=/d' /etc/vsftpd/vsftpd.conf

echo 'chroot_local_user=YES' >> /etc/vsftpd/vsftpd.conf

sed -i '/^userlist_enable=/d' /etc/vsftpd/vsftpd.conf

echo 'userlist_enable=YES' >> /etc/vsftpd/vsftpd.conf

echo 'userlist_deny=NO' >> /etc/vsftpd/vsftpd.conf

echo 'userlist_file=/etc/vsftpd/ftpuser_deny' >> /etc/vsftpd/vsftpd.conf

cat> /etc/vsftpd/ftpuser_deny << EOF

root

daemon

bin

sys

adm

lp

uucp

nuucp

listen

nobody

noaccess

nobody4

EOF

#close not need service

chkconfig cups off

#forbidden icmp redirect

cp -p /etc/sysctl.conf /etc/sysctl.conf.bak${MDFDATE}

echo "net.ipv4.conf.all.accept_redirects=0" >> /etc/sysctl.conf

#sysctl -p

#add remote log server

cp /etc/syslog.conf /etc/syslog.conf.bak${MDFDATE}

sed -i '/remote-host:514/a\*.info    @192.168.220.128' /etc/syslog.conf

echo 'auht.info       /var/log/authlog' >> /etc/syslog.conf

echo 'authpriv.*   /var/log/authlog' >> /etc/syslog.conf

echo '*.err;auth.info        /var/adm/messages' >> /etc/syslog.conf

touch /var/log/authlog

for f in `cat /etc/rsyslog.conf|grep -v "@"|grep -v "^#" |grep -v "^\$"|grep "/var" |grep -v "\-\/"|awk "{print$2}"`

do

chmod  $f

done

#forbid root romote login

cp -p /etc/ssh/sshd_config /etc/ssh/sshd_config.bak${MDFDATE}

sed -i 's/^PermitRootLogin yes/#PermitRootLogin yes/g' /etc/ssh/sshd_config

sed -i '/PermitRootLogin yes/a\PermitRootLogin no' /etc/ssh/sshd_config

#/etc/init.d/sshd restart

sed -i 's/^pts/#pts/g' /etc/securetty

#ssh banner

touch /etc/sshbanner

chown bin:bin /etc/sshbanner

chmod  /etc/sshbanner

echo " Authorized users only. All activity may be monitored and reported "   > /etc/sshbanner

echo "Banner /etc/sshbanner" >> /etc/ssh/sshd_config

service sshd restart

#limit ip to login

echo 'sshd:all:deny' >> /etc/hosts.deny

echo 'sshd:192.168.220.129:allow' >> /etc/hosts.allow

echo 'sshd:192.168.220.:allow' >> /etc/hosts.allow

#add password limit

#password remember

#add auth clock

cp -p /etc/pam.d/system-auth /etc/pam.d/system-auth.bak${MDFDATE}

echo "" >> /etc/pam.d/system-auth

echo "password    requisite     pam_cracklib.so dcredit=-1 lcredit=-1 ocredit=-1 minclass=2 minlen=8" >> /etc/pam.d/system-auth

echo "password    sufficient    pam_unix.so remember=5 md5 shadow nullok try_first_pass use_authtok" >> /etc/pam.d/system-auth

echo "auth required pam_tally2.so deny=6 onerr=fail no_magic_root unlock_time=120" >> /etc/pam.d/system-auth

#forbid ctrl+alt+del

cp -p /etc/inittab /etc/inittab.bak${MDFDATE}

sed -i '/ctrlaltdel/d' /etc/inittab

cp /etc/init/control-alt-delete.conf /etc/init/control-alt-delete.conf.bak${MDFDATE}

sed -i 's/^start/#start/g' /etc/init/control-alt-delete.conf

sed -i 's/^exec/#exec/g' /etc/init/control-alt-delete.conf

#umask

cp -p /etc/profile /etc/profile.bak${MDFDATE}

sed -i 's/umask 022/umask 027/g' /etc/profile

echo 'umask 027' >> /etc/profile

sed -i '/^TMOUT.*/d' /etc/profile

echo "export TMOUT=540" >>/etc/profile

cp -p /etc/csh.cshrc /etc/csh.cshrc.bak${MDFDATE}

echo 'set autologout = 540' >> /etc/csh.cshrc

#password file

chmod u+rw /etc/shadow

cp /etc/shadow /etc/shadow.bak${MDFDATE}

sed -i 's/^lp:/lp:!!/g' /etc/shadow

sed -i 's/^nobody:/nobody:!!/g' /etc/shadow

sed -i 's/^uucp:/uucp:!!/g' /etc/shadow

sed -i 's/^games:/games:!!/g' /etc/shadow

sed -i 's/^rpm:/rpm:!!/g' /etc/shadow

sed -i 's/^smmsp:/smmsp:!!/g' /etc/shadow

sed -i 's/^nfsnobody:/nfsnobody:!!/g' /etc/shadow

chmod  /etc/passwd

chmod  /etc/shadow

chmod  /etc/group

cp /etc/login.defs /etc/login.defs.bak${MDFDATE}

sed -i 's/PASS_MIN_LEN.*5*/PASS_MIN_LEN    8/g'  /etc/login.defs

sed -i 's/PASS_MAX_DAYS.*99999/PASS_MAX_DAYS   90/g' /etc/login.defs

#application user

#useradd -U forchk

Linux基线合规检查中各文件的作用及配置脚本的更多相关文章

  1. 阿里云安骑士-Centos7系统基线合规检测-修复记录

    执行命令 sysctl -w net.ipv4.conf.all.send_redirects=0sysctl -w net.ipv4.conf.default.send_redirects=0sys ...

  2. vue项目中一些文件的作用

    原文 简书原文:https://www.jianshu.com/p/38749e5bec3c 大纲 1.vue项目结构 2.主要的配置文件 2.1.package.json 2.2.dev-serve ...

  3. angular项目中各个文件的作用

    原文地址 https://www.jianshu.com/p/176ea79a7101 大纲 1.对angular项目中的一些文件的概述 2.对其中一些文件的详细描述 2.1.package.json ...

  4. Eclipse 中 Java 项目中 .settings 文件夹作用

    今天工作时,因对 .settings 文件夹误操作,耗时 6 个多小时,才了解到原因就出在 .settings 文件夹.经查阅资料,对 .settings 做如下整理: 就如setting这个名字,就 ...

  5. linux下/var/run目录下.pid文件的作用

    1.pid文件的内容用cat命令查看,可以看到内容只有一行,记录了该进程的ID 2.pid文件的作用防止启动多个进程副本 3.pid文件的原理进程运行后会给.pid文件加一个文件锁,只有获得该锁的进程 ...

  6. VC++6.0中各种文件的作用

    VC++ 6.0是一款很经典的C/C++开发工具,虽然是1998年的东西了,但是现在使用依然很广!在用它开发的时候,会发现在建立的工程的文件夹里面,有很多文件,各种后缀名.在这里呢,我主要说一下各个文 ...

  7. 网安等保-Linux服务器之最新Ubuntu-22.04-LTS系统内核优化与安全加固配置脚本使用分享

    关注「WeiyiGeek」公众号 设为「特别关注」每天带你玩转网络安全运维.应用开发.物联网IOT学习! 希望各位看友[关注.点赞.评论.收藏.投币],助力每一个梦想. 本章目录 目录 0x00 前言 ...

  8. Linux中各个文件的作用

    1.bin: 存放的是执行的常用指令 2.boot: 启动系统的核心文件 3.dev: Linux将设备映射成文件,而dev中放的就是这些设备文件 4.etc: 各种配置文件 5.home: 用户的主 ...

  9. Linux系统在启动过程中内核文件丢失的解决方法

    在/boot目录下有两个重要的文件,分别是: vmlinuz-3.10.0-123.el7.x86_64         内核文件 initamfs-3.10.0-123.el7.x86_64.img ...

随机推荐

  1. eureka 和zookeeper 区别 优势【转】

    作为服务注册中心,Eureka比Zookeeper好在哪里 著名的CAP理论指出,一个分布式系统不可能同时满足C(一致性).A(可用性)和P(分区容错性).由于分区容错性在是分布式系统中必须要保证的, ...

  2. Linux CentOS 7 安装mongoDB(4.0.6)

    在官网下载安装包: https://www.mongodb.com/download-center/community 或者通过wget下载 wget https://fastdl.mongodb.o ...

  3. git 命令详解

    初始化仓库 git init命令将目录初始化为一个仓库 git init 目录名 git 撤销commit git reset --hard <commit_id> git push or ...

  4. Lua和C++交互 学习记录之四:全局table交互

    主要内容转载自:子龙山人博客(强烈建议去子龙山人博客完全学习一遍) 部分内容查阅自:<Lua 5.3  参考手册>中文版 译者 云风 制作 Kavcc vs2013+lua-5.3.3 1 ...

  5. Python 编程快速上手 第五章总结

    第五章 字典和结构化数据 创建数组 格式:myCat = {'size':'fat','color':'gray',disposition':'loud'} 对字典的操作 通过[ ] 访问字典的值 [ ...

  6. centos7: php7.2.9安装配置

    下载php http://cn2.php.net/distributions/php-7.2.9.tar.gz 解压到: /usr/local/src/ 接下来进行参数配置,配置前如果没有libxml ...

  7. ORM--Object Relational Mapping

    ORM 对象关系映射   Object Relational Mapping, 简称ORM,或O/RM,或O/R mapping 一种程序技术 用于实现面向对象编程语言里       不同类型系统   ...

  8. 【调试】Idea如何远程debug之SpringBoot jar包启动

    一.Java -jar启动添加如下参数 -Xdebug -Xrunjdwp:transport=dt_socket,server=y,suspend=n,address= -Xdebug是通知JVM工 ...

  9. 20190104xlVBA_在课表里标记自己的课程

    Sub TagMyCourses() Const HEAD_ROW = 3 With ActiveSheet endrow = .Cells.Find("*", .Cells(1, ...

  10. anaconda安装tensorflow

    1.下载anaconda python3.5版本,Windows不支持python3.6,linux和mac支持python2.7和python3.3+ 2.创建环境   conda create - ...