检查是否配置ntp服务:
备份cp /etc/ntp.conf /etc/ntp.conf.bal1105
编辑vi /etc/ntp.conf
插入restrict 192.168.1.0 mask 255.255.255.0 nomodify notrap
启动ntpd服务:
service ntpd start
检查口令策略设置是否符合复杂度要求
cp -p /etc/pam.d/system-auth /etc/pam.d/system-auth_bak
vi /etc/pam.d/system-auth
可使用pam pam_cracklib module或pam_passwdqc module实现密码复杂度,两者不能同时使用
password requisite pam_cracklib.so dcredit=-1 ucredit=-1 lcredit=-1 ocredit=-1 minclass=2 minlen=8
password sufficient pam_unix.so md5 shadow nullok try_first_pass use_authtok
检查登录提示-是否设置登录成功后警告Banner
修改文件/etc/motd的内容,如没有该文件,则创建它。
#echo " Authorized users only. All activity may be monitored and reported " > /etc/motd
检查口令锁定策略
执行备份:
#cp -p /etc/pam.d/system-auth /etc/pam.d/system-auth_bak
修改策略设置:
#vi /etc/pam.d/system-auth
增加auth required pam_tally2.so deny=6 onerr=fail no_magic_root unlock_time=120
到第二行。
使配置生效需重启服务器。
检查主机访问控制(IP限制)
执行备份:
#cp -p /etc/hosts.allow /etc/hosts.allow_bak
#cp -p /etc/hosts.deny /etc/hosts.deny_bak
vim /etc/hosts.allow #插入all:*.*.*.*:allow
vim /etc/hosts.deny #插入sshd:555.555.555.555:DENY
检查口令生存周期要求
cp -p /etc/login.defs /etc/login.defs_bak
修改策略设置:
#vi /etc/login.defs
修改PASS_MIN_LEN的值为5,修改PASS_MAX_DAYS的值为90,按要求修改PASS_MIN_DAYS/PASS_WARN_AGE的值,保存退出
配置完成结果如下:#
PASS_MAX_DAYS 90
PASS_MIN_DAYS 0
PASS_MIN_LEN 5
PASS_WARN_AGE 7
检查是否禁止匿名ftp
修改/etc/vsftpd/vsftpd.conf
在配置文件中添加行:
anonymous_enable=NO
重启vsftpd服务 service vsftpd restart
检查FTP配置-限制FTP用户登录后能访问的目录
修改/etc/vsftpd/vsftpd.conf
确保以下行未被注释掉,如果没有该行,请添加:
chroot_local_user=YES
重启vsftpd服务 service vsftpd restart 重启网络服务
# /etc/init.d/xinetd restart
检查是否配置远程日志保存
备份cp -p /etc/rsyslog.conf /etc/rsyslog.conf_bak 编辑vim /etc/rsyslog.conf
插入*.*(Tab) @192.168.0.1
重启/etc/init.d/rsyslog stop /etc/init.d/rsyslog start
本文出自 “httpblog.mvp-610163.com” 博客,请务必保留此出处http://341103.blog.51cto.com/331103/1834811
原文地址:http://341103.blog.51cto.com/331103/1834811
