(一)   Redhat linux7.2安全基线基本型（BI）

1.   密码复杂度策略

/etc/pam.d/system-auth文件中，增加内容

password requisite pam_cracklib.so ucredit=-1 lcredit=-1 dcredit=-1

(字体行距自己调整注：ucredit：大写字母个数；lcredit：小写字母个数；dcredit：数字个数；ocredit：特殊字符个数 )

2.   密码相关配置

vi /etc/login.defs  （修改如下）

PASS_MIN_DAYS 0

PASS_MAX_DAYS 90

PASS_MIN_LEN 8

PASS_WARN_AGE 7（更改显示错误）

3.   检查用户umask设置

检查文件/etc/profile中umask设置 077

检查文件/etc/csh.login中umask设置 077

检查文件/etc/csh.cshrc中umask设置 077

检查文件/etc/bashrc（或/etc/bash.bashrc）中umask设置 077  待改（我们默认022）

4.   检查是否设置除root之外UID为0的用户

cat /etc/passwd | awk 'BEGIN {FS=":";ORS=","} {if($1~/^[[:space:]]*[^#]/)if($1!="root")if($3=="0")print$1}'

5.   检查是否存在空口令账号

cat  /etc/shadow | awk 'BEGIN{FS=":";ORS=","}{if($2=="")print$1};'|more

6.   检查重要文件属性设置

检查/etc/gshadow文件属性

检查/etc/group文件属性

检查/etc/passwd文件属性

检查/etc/shadow文件属性

chattr +i /etc/gshadow

lsattr /etc/gshadow

7.   检查重要目录或文件权限设置

/etc/xinetd.conf未安装

chmod 600 /etc/security

chmod 644 /etc/services

chmod 750 /etc/rc1.d/

chmod 750 /etc/rc0.d

chmod 750 /etc/rc4.d

chmod 750 /etc/rc2.d

chmod 750 /etc/rc3.d

chmod 750 /etc/rc5.d

chmod 750 /etc/rc6.d

chmod 644 /etc/group

chmod 750 /etc/

chmod 750 /etc/rc.d/init.d

chmod 750 /tmp

chmod 644 /etc/passwd

chmod 400 /etc/shadow

8.   限制用户使用SU命令切换root

编辑 su 文件(vi /etc/pam.d/su)，在开头添加下面两行：

auth sufficient pam_rootok.so 和

auth required pam_wheel.so group=wheel

这表明只有 wheel 组的成员可以使用 su 命令成为 root 用户

添加方法为：

usermod –G wheel username

9.   删除潜在危险文件

删除用户 .netrc，.rhosts，.hosts.equiv 文件, 控制用户对资源的访问

l  执行命令find / -maxdepth 3 -name .netrc 2>/dev/null  （没有就跳过）

l  进入到.netrc文件存在的目录

l  执行命令：mv .netrc .netrc.bak

10. 检查历史命令设置

编辑文件/etc/profile，

修改HISTSIZE配置为5

HISTSIZE=5

11. 检查是否记录用户对设备的操作

通过设置日志文件可以对每个用户的每一条命令进行记录，这一功能默认是不开放的，为了打开它，需要安装pacct工具，并执行以下命令：

#touch /var/log/pacct

#accton /var/log/pacct

执行读取命令lastcomm [user name] -f /var/log/pacct

12. 检查安全事件日志配置

编辑/etc/rsyslog.conf

配置：

*.err;kern.debug;daemon.notice  /var/adm/messages

其中/var/adm/messages为日志文件。

如果该文件不存在，则创建该文件，命令为：

touch /var/adm/messages， 并修改权限为666.命令为：chmod 666 /var/adm/messages.

重启日志服务：

# systemctl restart rsyslog.service

13. 检查是否配置su命令使用情况记录

编辑/etc/rsyslog.conf,

配置:

authpriv.* /var/log/secure

14. 检查是否禁止root用户远程登录

修改/etc/ssh/sshd_config文件,。

#vim  /etc/ssh/sshd_config

配置PermitRootLogin no

15. 检查是否设置命令行界面超时退出

#vi /etc/profile  (增加如下)

#export TMOUT=600   (单位：秒)

16. 检查 passwd 和 group 文件中是否有不合法的'+' 参数存在

检查 passwd 和 group 文件中是否有不合法的'+' 参数存在

cat /etc/passwd | grep ‘*+*’

cat /etc/passwd | grep ‘*+*’

17. 设置用户登录访问的安全提示信息

l  检查方法

方法1、通过cat命令检查/etc/motd和/etc/issue文件中的banner信息；

方法2、使用SSH远程登录的方式，检查是否会出现warning的信息。

l  增加方法

编辑修改/etc/issue和/etc/motd文件，增加如下内容：

“Authorized users only. All activity may be monitored and reported”

l  修改/etc/issuse和/etc/motd的文件属主和属组：

chown root:sys /etc/motd

chown root:root /etc/issue

redhat7.2安全基线BI的更多相关文章

1. 一起学微软Power BI系列-使用技巧(5)自定义PowerBI时间日期表

   1.日期函数表作用 经常使用Excel或者PowerBI,Power Pivot做报表,时间日期是一个重要的纬度,加上做一些钻取,时间日期函数表不可避免.所以今天就给大家分享一个自定义的做日期表的方法 ...

2. 一起学微软Power BI系列-使用技巧(4)Power BI中国版企业环境搭建和帐号问题

   千呼万唤的Power BI中国版终于落地了,相信12月初的微软技术大会之后已经铺天盖地的新闻出现了,不错,Power BI中国版真的来了,但还有些遗憾,国际版的一些重量级服务如power bi emb ...

3. 一起学微软Power BI系列-使用技巧(3)Power BI安卓手机版安装与体验

   Power BI有手机版,目前支持安卓,苹果和WP,不过没有WP手机,苹果在国内还不能用,要FQ和用就不测试了.安卓的我也也是费了九牛二虎之力才把app下载下来,把方法分享给大家. FQ太麻烦,所以建 ...

4. Power BI官方视频(3) Power BI Desktop 8月份更新功能概述

   Power BI Desktop 8月24日发布了更新版本.现将更新内容翻译整理如下,可以根据后面提供的链接下载最新版本使用. 1.主要功能更新 1.1 数据钻取支持在线版 以前的desktop中进行 ...

5. 一起学微软Power BI系列-使用技巧(1)连接Oracle与Mysql数据库

   说起Oracle数据库,以前没用过Oracle不知道,但是这1年用Oracle后,发现真的是想狂吐槽,特别是那个.NET驱动和链接字符串,特别奇葩.总归是和其他数据库不一样,标新立异,不知道为何.另外 ...

6. 千呼万唤始出来，微软Power BI简体中文版官网终于上线了，中文文档也全了。。

   前几个月时间,研究微软Power BI技术,由于没有任何文档和资料,只能在英文官网瞎折腾,同时也发布了英文文档的相关文章:系列文章,刚好上周把文章发布完,结果简体中文版上线了.哈哈,心里有苦啊,早知道 ...

7. 微软新神器-Power BI横空出世，一个简单易用，还用得起的BI产品，你还在等什么？？？

   在当前互联网,由于大数据研究热潮,以及数据挖掘,机器学习等技术的改进,各种数据可视化图表层出不穷,如何让大数据生动呈现,也成了一个具有挑战性的可能,随之也出现了大量的商业化软件.今天就给大家介绍一款逆 ...

8. 太多选择——企业如何选择合适的BI工具？

   在没认清现状前,企业当然不能一言不合就上BI. BI不同于一般的企业管理软件,不能简单归类为类似用于提高管理的ERP和WMS,或用于提高企业效率的OA.BPM.BI的本质应该是通过展现数据,用于加强企 ...

9. 【转】 FineBI：自助式BI工具打造业务分析的“快与准”

   如今的企业经营方式,业务对于数据分析有极大的需求,但却苦于没有数据以及工具的有效支持,业务分析仍就依赖于IT报表制作.而IT方不断地按业务需求去调研.确认业务逻辑,然后取数做报表,其中还要忍受业务的需 ...

随机推荐

1. Daily Scrum 12.14

   今日完成任务: 优化了问题页面显示问题的算法:两名开发人员有CCF考试,今天没有完成任务,任务顺延到明天. 明日任务: 黎柱金 解决资源显示全部为同一个PDF的BUG 晏旭瑞 资源搜索问题 孙思权 做 ...

2. oracle中的instr()

   INSTR (源字符串, 目标字符串, 起始位置, 匹配序号) 在Oracle/PLSQL中,instr函数返回要截取的字符串在源字符串中的位置.只检索一次,就是说从字符的开始 到字符的结尾就结束. ...

3. windows 安装mysql的时候最后执行一直停留在Write configuration file

   出现原因:MySQL安装路径出现中文,特殊字符.或是重新安装MySQL后经常遇到.前者是路径不允许出现中文名称,后者是由于卸载不干净. 我就是因为重新安装了MySQL,卸载不干净,才会导致之后这个错误 ...

4. WebService 通用接收方法

   /** * @Title: getNetStatusRequest * @Description: TODO(2.1检查网络状态字符串) * @param: * @return: String * @ ...

5. （iOS）Storyboard/xib小技巧

   1.选择被view覆盖住的view 当你想直接在view中选择自己想要的元素时,但是又碍于一个view上叠加的元素太多很难直接选中,那么在这时,你同时按住键盘上的shift和 control键,然后在 ...

6. BZOJ 3275: Number( 最小割 )

   S->每个奇数,每个偶数->T各连一条边, 容量为这个数字.然后不能同时选的两个数连容量为+oo的边. 总数-最大流即是答案. 因为满足a2+b2=c2的a,b一定是一奇一偶或者两个偶数, ...

7. php的api接口

   在实际工作中,使用PHP写api接口是经常做的,PHP写好接口后,前台就可以通过链接获取接口提供的数据,而返回的数据一般分为两种情况,xml和json,在这个过程中,服务器并不知道,请求的来源是什么, ...

8. mysql 数据备份和还原

   使用mysqldump命令备份 使用root用户备份test数据库下的person表 mysqldump -u root -p test person > D:\backup.sql 备份多个数 ...

9. 关于L1和L2的直观解释

   https://blog.csdn.net/*_shi/article/details/52433975

10. redis集群之主从架构

    https://redis.io/topics/replication1. redis主从架构概述(1)一个master可以配置多个slave(2)slave与master之间使用异步复制进行数据同步 ...