(一) Redhat linux7.2安全基线基本型(BI)
1. 密码复杂度策略
/etc/pam.d/system-auth文件中,增加内容
password requisite pam_cracklib.so ucredit=-1 lcredit=-1 dcredit=-1
(字体行距自己调整注:ucredit:大写字母个数;lcredit:小写字母个数;dcredit:数字个数;ocredit:特殊字符个数 )
2. 密码相关配置
vi /etc/login.defs (修改如下)
PASS_MIN_DAYS 0
PASS_MAX_DAYS 90
PASS_MIN_LEN 8
PASS_WARN_AGE 7(更改显示错误)
3. 检查用户umask设置
检查文件/etc/profile中umask设置 077
检查文件/etc/csh.login中umask设置 077
检查文件/etc/csh.cshrc中umask设置 077
检查文件/etc/bashrc(或/etc/bash.bashrc)中umask设置 077 待改(我们默认022)
4. 检查是否设置除root之外UID为0的用户
cat /etc/passwd | awk 'BEGIN {FS=":";ORS=","} {if($1~/^[[:space:]]*[^#]/)if($1!="root")if($3=="0")print$1}'
5. 检查是否存在空口令账号
cat /etc/shadow | awk 'BEGIN{FS=":";ORS=","}{if($2=="")print$1};'|more
6. 检查重要文件属性设置
检查/etc/gshadow文件属性
检查/etc/group文件属性
检查/etc/passwd文件属性
检查/etc/shadow文件属性
chattr +i /etc/gshadow
lsattr /etc/gshadow
7. 检查重要目录或文件权限设置
/etc/xinetd.conf未安装
chmod 600 /etc/security
chmod 644 /etc/services
chmod 750 /etc/rc1.d/
chmod 750 /etc/rc0.d
chmod 750 /etc/rc4.d
chmod 750 /etc/rc2.d
chmod 750 /etc/rc3.d
chmod 750 /etc/rc5.d
chmod 750 /etc/rc6.d
chmod 644 /etc/group
chmod 750 /etc/
chmod 750 /etc/rc.d/init.d
chmod 750 /tmp
chmod 644 /etc/passwd
chmod 400 /etc/shadow
8. 限制用户使用SU命令切换root
编辑 su 文件(vi /etc/pam.d/su),在开头添加下面两行:
auth sufficient pam_rootok.so 和
auth required pam_wheel.so group=wheel
这表明只有 wheel 组的成员可以使用 su 命令成为 root 用户
添加方法为:
usermod –G wheel username
9. 删除潜在危险文件
删除用户 .netrc,.rhosts,.hosts.equiv 文件, 控制用户对资源的访问
l 执行命令find / -maxdepth 3 -name .netrc 2>/dev/null (没有就跳过)
l 进入到.netrc文件存在的目录
l 执行命令:mv .netrc .netrc.bak
10. 检查历史命令设置
编辑文件/etc/profile,
修改HISTSIZE配置为5
HISTSIZE=5
11. 检查是否记录用户对设备的操作
通过设置日志文件可以对每个用户的每一条命令进行记录,这一功能默认是不开放的,为了打开它,需要安装pacct工具,并执行以下命令:
#touch /var/log/pacct
#accton /var/log/pacct
执行读取命令lastcomm [user name] -f /var/log/pacct
12. 检查安全事件日志配置
编辑/etc/rsyslog.conf
配置:
*.err;kern.debug;daemon.notice /var/adm/messages
其中/var/adm/messages为日志文件。
如果该文件不存在,则创建该文件,命令为:
touch /var/adm/messages, 并修改权限为666.命令为:chmod 666 /var/adm/messages.
重启日志服务:
# systemctl restart rsyslog.service
13. 检查是否配置su命令使用情况记录
编辑/etc/rsyslog.conf,
配置:
authpriv.* /var/log/secure
14. 检查是否禁止root用户远程登录
修改/etc/ssh/sshd_config文件,。
#vim /etc/ssh/sshd_config
配置PermitRootLogin no
15. 检查是否设置命令行界面超时退出
#vi /etc/profile (增加如下)
#export TMOUT=600 (单位:秒)
16. 检查 passwd 和 group 文件中是否有不合法的'+' 参数存在
检查 passwd 和 group 文件中是否有不合法的'+' 参数存在
cat /etc/passwd | grep ‘*+*’
cat /etc/passwd | grep ‘*+*’
17. 设置用户登录访问的安全提示信息
l 检查方法
方法1、通过cat命令检查/etc/motd和/etc/issue文件中的banner信息;
方法2、使用SSH远程登录的方式,检查是否会出现warning的信息。
l 增加方法
编辑修改/etc/issue和/etc/motd文件,增加如下内容:
“Authorized users only. All activity may be monitored and reported”
l 修改/etc/issuse和/etc/motd的文件属主和属组:
chown root:sys /etc/motd
chown root:root /etc/issue
redhat7.2安全基线BI的更多相关文章
-
一起学微软Power BI系列-使用技巧(5)自定义PowerBI时间日期表
1.日期函数表作用 经常使用Excel或者PowerBI,Power Pivot做报表,时间日期是一个重要的纬度,加上做一些钻取,时间日期函数表不可避免.所以今天就给大家分享一个自定义的做日期表的方法 ...
-
一起学微软Power BI系列-使用技巧(4)Power BI中国版企业环境搭建和帐号问题
千呼万唤的Power BI中国版终于落地了,相信12月初的微软技术大会之后已经铺天盖地的新闻出现了,不错,Power BI中国版真的来了,但还有些遗憾,国际版的一些重量级服务如power bi emb ...
-
一起学微软Power BI系列-使用技巧(3)Power BI安卓手机版安装与体验
Power BI有手机版,目前支持安卓,苹果和WP,不过没有WP手机,苹果在国内还不能用,要FQ和用就不测试了.安卓的我也也是费了九牛二虎之力才把app下载下来,把方法分享给大家. FQ太麻烦,所以建 ...
-
Power BI官方视频(3) Power BI Desktop 8月份更新功能概述
Power BI Desktop 8月24日发布了更新版本.现将更新内容翻译整理如下,可以根据后面提供的链接下载最新版本使用. 1.主要功能更新 1.1 数据钻取支持在线版 以前的desktop中进行 ...
-
一起学微软Power BI系列-使用技巧(1)连接Oracle与Mysql数据库
说起Oracle数据库,以前没用过Oracle不知道,但是这1年用Oracle后,发现真的是想狂吐槽,特别是那个.NET驱动和链接字符串,特别奇葩.总归是和其他数据库不一样,标新立异,不知道为何.另外 ...
-
千呼万唤始出来,微软Power BI简体中文版官网终于上线了,中文文档也全了。。
前几个月时间,研究微软Power BI技术,由于没有任何文档和资料,只能在英文官网瞎折腾,同时也发布了英文文档的相关文章:系列文章,刚好上周把文章发布完,结果简体中文版上线了.哈哈,心里有苦啊,早知道 ...
-
微软新神器-Power BI横空出世,一个简单易用,还用得起的BI产品,你还在等什么???
在当前互联网,由于大数据研究热潮,以及数据挖掘,机器学习等技术的改进,各种数据可视化图表层出不穷,如何让大数据生动呈现,也成了一个具有挑战性的可能,随之也出现了大量的商业化软件.今天就给大家介绍一款逆 ...
-
太多选择——企业如何选择合适的BI工具?
在没认清现状前,企业当然不能一言不合就上BI. BI不同于一般的企业管理软件,不能简单归类为类似用于提高管理的ERP和WMS,或用于提高企业效率的OA.BPM.BI的本质应该是通过展现数据,用于加强企 ...
-
【转】 FineBI:自助式BI工具打造业务分析的“快与准”
如今的企业经营方式,业务对于数据分析有极大的需求,但却苦于没有数据以及工具的有效支持,业务分析仍就依赖于IT报表制作.而IT方不断地按业务需求去调研.确认业务逻辑,然后取数做报表,其中还要忍受业务的需 ...
随机推荐
-
Daily Scrum 12.14
今日完成任务: 优化了问题页面显示问题的算法:两名开发人员有CCF考试,今天没有完成任务,任务顺延到明天. 明日任务: 黎柱金 解决资源显示全部为同一个PDF的BUG 晏旭瑞 资源搜索问题 孙思权 做 ...
-
oracle中的instr()
INSTR (源字符串, 目标字符串, 起始位置, 匹配序号) 在Oracle/PLSQL中,instr函数返回要截取的字符串在源字符串中的位置.只检索一次,就是说从字符的开始 到字符的结尾就结束. ...
-
windows 安装mysql的时候最后执行一直停留在Write configuration file
出现原因:MySQL安装路径出现中文,特殊字符.或是重新安装MySQL后经常遇到.前者是路径不允许出现中文名称,后者是由于卸载不干净. 我就是因为重新安装了MySQL,卸载不干净,才会导致之后这个错误 ...
-
WebService 通用接收方法
/** * @Title: getNetStatusRequest * @Description: TODO(2.1检查网络状态字符串) * @param: * @return: String * @ ...
-
(iOS)Storyboard/xib小技巧
1.选择被view覆盖住的view 当你想直接在view中选择自己想要的元素时,但是又碍于一个view上叠加的元素太多很难直接选中,那么在这时,你同时按住键盘上的shift和 control键,然后在 ...
-
BZOJ 3275: Number( 最小割 )
S->每个奇数,每个偶数->T各连一条边, 容量为这个数字.然后不能同时选的两个数连容量为+oo的边. 总数-最大流即是答案. 因为满足a2+b2=c2的a,b一定是一奇一偶或者两个偶数, ...
-
php的api接口
在实际工作中,使用PHP写api接口是经常做的,PHP写好接口后,前台就可以通过链接获取接口提供的数据,而返回的数据一般分为两种情况,xml和json,在这个过程中,服务器并不知道,请求的来源是什么, ...
-
mysql 数据备份和还原
使用mysqldump命令备份 使用root用户备份test数据库下的person表 mysqldump -u root -p test person > D:\backup.sql 备份多个数 ...
-
关于L1和L2的直观解释
https://blog.csdn.net/*_shi/article/details/52433975
-
redis集群之主从架构
https://redis.io/topics/replication1. redis主从架构概述(1)一个master可以配置多个slave(2)slave与master之间使用异步复制进行数据同步 ...