linux系统安全配置要求1.安全配置要求
1.1.创建/etc/shadow口令文件
1.2.建立多组，将用户账号分配到相应的组
1.3.删除或锁定可能无用的
1.4.删除可能无用的用户组
1.5.检查是否存在空密码的
1.6.设置口令策略满足复杂度要求
1.7.设置口令生存周期
1.8.设定密码历史，不能重复使用最近5次（含5次）已使用的口令
1.9.限制root用户远程登录
1.10.检查passwd、group文件权限设置
1.11.系统umask设置
2.访问、认证安全配置要求2.1.远程登录取消telnet采用ssh
2.2.限制系统FTP登录
2.3.配置允许访问inetd服务的IP围或主机名
2.4.禁止除root外使用at/cron
2.5.设定连续认证失败次数超过6次（不含6次）锁定该账号
3.文件系统安全配置要求
3.1.重要目录和文件的权限设置
3.2.检查没有所有者的文件或目录
4.网络服务安全配置要求
4.1.禁止NIS/NIS+服务以守护方式运行
4.2.禁用打印服务以守护方式运行
4.3.禁用SENDMAIL服务以守护方式运行
4.4.禁用不必要的标准启动服务
查看该文件中是否存在MROUTED=0、RWHOD=0、DDFA=0、START_RBOOTD=0
检查DFS分布式文件系统服务，执行：
#more /etc/rc.config.d/dfs
查看该文件中是否存在DCE_KRPC=0、DFS_CORE=0、DFS_CLIENT=0、DFS_SERVER=0、DFS_EPISODE=0、EPIINIT=0、DFSEXPORT=0、BOSSERVER=0、DFSBIND=0、FXD=0、MEMCACHE=0、DFSGWD=0、DISKCACHEFORDFS=0
检查逆地址解析服务，执行：
#more /etc/rc.config.d/netconf
查看该文件中是否存在RARPD=0、RDPD=0
检查响应PTY（伪终端）请求守护进程，执行：
#more /etc/rc.config.d/ptydaemon
查看该文件中是否存在PTYDAEMON_START=0
检查响应VT（通过LAN登录其他系统）请求守护进程，执行：
#more /etc/rc.config.d/vt
查看该文件中是否存在VTDAEMON_START=0
检查域名守护进程服务，执行：
#more /etc/rc.config.d/namesvrs
查看该文件中是否存在NAMED=0
检查SNMP代理进程服务，执行：
#more /etc/rc.config.d/peer.snmpd
查看该文件中是否存在PEER_SNMPD_START=0
检查授权管理守护进程服务，执行：
#more /etc/rc.config.d/i4lmd
查看该文件中是否存在START_I4LMD=0
检查SNAplus2服务，执行：
#more /etc/rc.config.d/snaplus2
查看该文件中是否存在START_SNAPLUS=0、START_SNANODE=0、START_SNAINETD=0
检查X字体服务，执行：
#more /etc/rc.config.d/xfs
查看该文件中是否存在RUN_X_FONT_SERVER=0
检查语音服务，执行：
#more /etc/rc.config.d/audio
查看该文件中是否存在AUDIO_SERVER=0
检查SLSD（Single-Logical-Screen-Daemon）服务，执行：
#more /etc/rc.config.d/slsd
查看该文件中是否存在SLSD_DAEMON=0
检查SAMBA服务，执行：
#more /etc/rc.config.d/samba
查看该文件中是否存在RUN_SAMBA=0
检查CIFS客户端服务，执行：
#more /etc/rc.config.d/cifsclient
查看该文件中是否存在RUN_CIFSCLIENT=0
检查NFS启动服务，执行：
#more /etc/rc.config.d/nfsconf
查看该文件中是否存在NFS_SERVER=0、NFS_CLIENT=0
检查Netscape FastTrack Server服务，执行：
#more /etc/rc.config.d/ns-ftrack
查看该文件中是否存在NS_FTRACK=0
检查APACHE服务，执行：
#more /etc/rc.config.d/apacheconf
查看该文件中是否存在APACHE_START=0
检查基于RPC的服务，执行：
#ls /sbin/rc2.d/.NOS400nfs.core 查看是否存在该文件
操作步骤1、执行备份：
使用cp命令备份需要修改的文件
2、设置参数：
执行下列命令，禁用SNAplus2服务
#ch_rc -a -p START_SNAPLUS=0 -p START_SNANODE=0 -p START_SNAINETD=0 /etc/rc.config.d/snaplus2
执行下列命令，禁用多播路由服务
#ch_rc -a -p MROUTED=0 -p RWHOD=0 -p DDFA=0 -p START_RBOOTD=0 /etc/rc.config.d/netdaemons
执行下列命令，禁用DFS分布式文件系统服务
#ch_rc -a -p DCE_KRPC=0 -p DFS_CORE=0 -p DFS_CLIENT=0 -p DFS_SERVER=0 -p DFS_EPISODE=0 -p EPIINIT=0 -p DFSEXPORT=0 -p BOSSERVER=0 -p DFSBIND=0 -p FXD=0 -p MEMCACHE=0 -p DFSGWD=0 -p DISKCACHEFORDFS=0 /etc/rc.config.d/dfs
执行下列命令，禁用逆地址解析服务
#ch_rc -a -p RARPD=0 -p RDPD=0 /etc/rc.config.d/netconf
执行下列命令，禁用响应PTY（伪终端）请求守护进程
#ch_rc -a -p PTYDAEMON_START=0 /etc/rc.config.d/ptydaemon
执行下列命令，禁用响应VT（通过LAN登录其他系统）请求守护进程
#ch_rc -a -p VTDAEMON_START=0 /etc/rc.config.d/vt
执行下列命令，禁用域名守护进程
#ch_rc -a -p NAMED=0 /etc/rc.config.d/namesvrs
执行下列命令，禁用SNMP代理进程
#ch_rc -a -p PEER_SNMPD_START=0 /etc/rc.config.d/peer.snmpd
4.5.禁用不必要的inetd服务
5.IP协议安全配置要求5.1.关闭IP转发
5.2.关闭转发源路由包
5.3.增大最大半连接数防SYN攻击
5.4.关闭ICMP重定向
5.5.关闭响应echo广播
5.6.关闭响应地址掩码和时间戳广播防止探测
#cp -p /etc/rc.config.d/nddconf /etc/rc.config.d/nddconf_bak 2、执行下列命令，设置参数
使参数在当前系统状态下临时生效：
#ndd -set /dev/ip ip_respond_to_address_mask_broadcast 0
#ndd -set /dev/ip ip_respond_to_timestamp_broadcast 0
建立启动项，使参数重启后永久生效：
#cd /etc/rc.config.d
#cat <<EOF >> nddconf
# Don't respond to ICMP address mask requests
TRANSPORT_NAME[6]=ip
NDD_NAME[6]=ip_respond_to_address_mask_broadcast
NDD_VALUE[6]=0
# Don't respond to broadcast ICMP tstamp reqs
TRANSPORT_NAME[7]=ip
NDD_NAME[7]=ip_respond_to_timestamp_broadcast
NDD_VALUE[7]=0
EOF
#chown root:sys nddconf
#chmod go-w,ug-s nddconf
回退操作1、使用ndd -set恢复修改前的参数
2、执行：
#cp -p /etc/rc.config.d/nddconf_bak /etc/rc.config.d/nddconf
风险说明可能影响网络通信
6.日志安全配置要求
6.1.非日志服务器禁止接收syslog
6.2.启用inetd日志记录
6.3.配置SYSLOG
6.4.检查系统日志文件权限
7.其他安全配置要求
7.1.字符交互界面超时自动退出
7.2.图形界面设置默认自动锁屏时间为10分钟。