Linux系统加固笔记

检查口令为空的账户

判断依据：存在则不符合

特殊的shell  
  a./bin/false:将用户的shell设置为/bin/false，用户会无法登录，并且不会有任何提示信息
  b./sbib/nologin：nologin会礼貌的向用户发送一条消息，并且拒绝用户登录
检查方式：cat /etc/passwd  cat /etc/shadow查看密码lan'mu栏为空的账户
加固方式：删除密码为空的账户，或者为账户添加密码,
    userdel <usename>
    passwd <username>

在shadow文件中，*代表账户无法登录，是锁定状态，感叹号是密码为空 判断第七个字段是不是正常的，判断第二个字段是不是正常的

检查UID与Root相同的账户

 判断依据：存在则不符合
  若UID为0，那么说明有root权限
  检查方式：cat /etc/passwd 查看第二个数字为0的账户，就是第三个字段为0的账户
  加固方式：修改恶意账户的UID并删除恶意账户
  

我们要删除UID为0的恶意用户的时候，我们需要先编辑/etc/passwd文件，改为普通用户，然后删除，否则会删除不了的

检查是否启用core dump设置

检查依据：存在则符合
内存镜像：
  a.当程序运行的过程中异常终止或崩溃，操作系统会将程序当时的内存状态记录下来，保存在一个文件中，这种行为就叫做Core Dump,核心转储
  b.core dump是内存快照，除了内存信息以外，有些关键字的程序运行状态也会同时dump下来，例如寄存器信息，内存管理信息，其他处理器和操作系统状态和信息
检查方式：cat /etc/security/limits.conf查看solt core 0,hard core 0配置
加固方式：添加或者修改配置文件
如果缺少了solt core 0 或者hard core 0需要手动添加上去，如果被注释掉了，需要取消注释

检查历史命令条数设置

判断依据：建议值为200
检查方式：cat /etc/profile 查看histsize的值
加固方式：修改profile配置文件中的histsize值为200

如果历史命令太多，黑客登录操作系统可以知道我们做了什么，会有信息泄露

检查系统当前的umask值

判断依据：值022符合
umask设置了用户创建文件的默认权限，它与chmod的效果刚好相反，umask设置的权限是“补码”，而chmod设置的是文件权限码
系统管理员必须要设置一个合理的umask值，确保你创建的文件具有所希望的缺省权限，防止其他用户对你的文件具有写权限
检查方式：通过命令umask输出当前umask的值
加固方式：通过umask命令修改值为022

umask 022 //如此设置即可

口令策略检查

判断依据：最小长度为8则符合
检查方式：cat /etc/login.defs查看PASS_MIN_LEN的值，login.defs是用户账号限制文件，但是里面的策略对root无效，检查/etc/pam.d/system-auth文件，设置密码策略，-l大写字母，-u小写字母，-d一个数字，-o特殊字符
加固方式：修改login.defs文件，修改最小密码长度，建议值为10

设置密码认证失败次数

判断依据：大于5为不符合
默认情况下pam.d/login以及pam.d/sshd文件中不含有认证失败的次数
检查方式：cat /etc/pam.d/sshd,cat /etc/pam.d/login查看auth，required pam_unlock.so deny =unlock_time=even_deny_root root_unlock_time=的值是否配置
加固方式：在pam.d/login文件中或者在pam.d/sshd文件中添加字段deny，建议值为5，若以上的值没有被配置，则在配置文件中追加该内容
vi /etc/pam.d/login
auth required pam_tally2.so deny=5