#passwdauditor#设置口令
#chmod 700~auditor#修改用户主目录权限，确保只有该用户可以读写
#vi /etc/passwd注释掉不用的账户auditor #停用不用的账户
基线符合性判定依据
1、判定条件
用新建的用户登陆系统成功，可以做常用的操作，用户不能访问其他用户的主目录。
2、检测操作
用不同用户登陆，检查用户主目录的权
备注
4.1.5
安全基线项目名称
操作系统Linuxr认证失败锁定要求项
安全基线项说明
设置帐号在3次连续尝试认证失败后锁定，锁定时间为1分钟，避免用户口令被暴力破解。
检测操作步骤
1、参考配置操作
建立/var/log/faillog文件并设置权限
#touch/var/log/faillog
安全基线项说明
帐号与口令-检查是否存在如下不必要账户：lp, sync, shutdown, halt, news, uucp, operator, games, gopher等,
检测操作步骤
执行：cat /etc/passwd
如果不使用，用以下命令进行删除。
#delusertest01
基线符合性判定依据
基线符合性判定依据
无特殊应用情况下，如发现上述账户，则低于安全要求。
备注
4.2
4.2.1
安全基线项目名称
操作系统Linux远程连接安全基线要求项
安全基线项说明
帐号与口令-远程连接的安全性配置
检测操作步骤
执行：find / -name rc，检查系统中是否有rc文件；
执行：find / -name .rhosts，检查系统中是否有.rhosts文件
建议设置用户的默认umask=077
4.2.4
安全基线项目名称
操作系统Linux SUID/SGID文件安全基线要求项
安全基线项说明
文件系统-查找未授权的SUID/SGID文件
检测操作步骤
用下面的命令查找系统中所有的SUID和SGID程序，执行：
for PART in `grep -v ^# /etc/fstab | awk '($6 != "0") {print $2 }'`; do
find $PART -nouser -o -nogroup -print
done
注意：不用管“/dev”目录下的那些文件
基线符合性判定依据
若返回值非空，则低于安全要求。
备注
补充操作说明
发现没有属主的文件往往就意味着有黑客入侵你的系统了。不能允许没有属主的文件存在。如果在系统中发现了没有属主的文件或目录，先查看它的完整性，如果一切正常，给它一个属主。有时候卸载程序可能会出现一些没有属主的文件或目录，在这种情况下可以把这些文件和目录删除掉。
Done
基线符合性判定依据
若返回值非空，则低于安全要求。
备注
4.2.7
安全基线项目名称
操作系统Linux文件所有权安全基线要求项
安全基线项说明
文件系统-检查没有属主的文件
检测操作步骤
定位系统中没有属主的文件用下面的命令：
for PART in `grep -v ^# /etc/fstab | awk '($6 != "0") {print $2 }'`; do
如发现上述账户，则低于安全要求。如主机存在gnone,则需要保留games账号
备注
4.1.4
安全基线项目名称
操作系统Linux账户策略安全基线要求项
安全基线项说明
给不同的用户分配不同的帐号，避免多个用户共享帐号。
至少分配root，auditor，operator角色。
检测操作步骤
1、参考配置操作
#useraddauditor#新建帐号
安全基线项说明
帐号与口令-用户的umask安全配置
检测操作步骤
执行：more /etc/profile more /etc/ more /etc/ more /etc/bashrc检查是否包含umask值
基线符合性判定依据
umask值是默认的，则低于安全要求。
备注
补充操作说明：vi /etc/profile
操作系统Linux目录写权限安全基线要求项
安全基线项说明
文件系统-检查任何人都有写权限的目录
检测操作步骤
在系统中定位任何人都有写权限的目录用下面的命令：
for PART in `awk '($3 == "ext2" || $3 == "ext3") \
{ print $2 }' /etc/fstab`; do
检测操作步骤
在系统中定位任何人都有写权限的文件用下面的命令：
for PART in `grep -v ^# /etc/fstab | awk '($6 != "0") {print $2 }'`; do
find $PART -xdev -type f \( -perm -0002 -a ! -perm -1000 \) -print
2、执行：more /etc/login，检查
PASS_MIN_LEN 12
PASS_MAX_DAYS 90
PASS_WARN_AGE 7
3、执行：awk -F: '($2 == "") { print $1 }' /etc/shadow,检查是否存在空口令账号
4、编辑/etc/system-auth文件，将
2、检测操作
chkconfig --listauditd
用aureport、ausearch查看审计日志。
备注
5.2.2
安全基线项目名称
操作系统Linux日志增强要求项
安全基线项说明
使messages只可追加，使轮循的messages文件不可更改，从而防止非法访问目录或者删除日志的操作
检测操作步骤
执行命令：
4.2.8
安全基线项目名称
操作系统Linux隐含文件安全基线要求项
安全基线项说明
文件系统-检查异常隐含文件
检测操作步骤
用“find”程序可以查找到这些隐含文件。例如：
# find / -name ".. *" -print –xdev
# find / -name "…*" -print -xdev | cat -v
操作系统Linux登录审计安全基线要求项
第4章
4.1
4.1.1
安全基线项目名称
操作系统Linux用户口令安全基线要求项
安全基线项说明
帐号与口令-用户口令设置,配置用户口令强度检查达到12位，要求用户口令包括数字、小写字母、大写字母和特殊符号4类中至少2类。
检测操作步骤
1、询问管理员是否存在如下类似的简单用户密码配置，比如：
root/root, test/test, root/root1234
Chattr +a /var/log/messages
Chattr +i/var/log/messages.*
Chattr +i/etc/shadow
Chattr +i/etc/passwd
Chattr +i/etc/group
基线符合性判定依据
使用lsattr判断属性
备注
5.2.3
安全基线项目名称
第5章
5.1
5.1.1
安全基线项目名称
操作系统Linux登录审计安全基线要求项
安全基线项说明
日志审计-syslog登录事件记录
检测操作步骤
执行命令：more /etc/
查看参数authpriv值
Authpriv.* /var/log/secure
基线符合性判定依据
若未对所有登录事件都记录，则低于安全要求。
执行：awk -F: '($3 == 0) { print $1 }' /etc/passwd
基线符合性判定依据
返回值包括“root”以外的条目，则低于安全要求。
备注
补充操作说明
UID为0的任何用户都拥有系统的最高特权，保证只有root用户的UID为0
4.1.3
安全基线项目名称
操作系统Linux无用账户策略安全基线要求项
基线符合性判定依据
返回值包含以上条件，则低于安全要求。
备注
补充操作说明
如无必要，删除这两个文件
4.2.2
安全基线项目名称
操作系统Linux远程连接安全基线要求项
安全基线项说明
配置tcp_wrappers，限制允许远程登陆系统的IP范围。
检测操作步骤
1、参考配置操作
编辑/etc/
添加
sshd:ALL
编辑/etc/
添加
sshd: #允许0网段远程登陆
sshd: #允许0网段远程登陆
基线符合性判定依据
1、判定条件
只有网管网段可以ssh登陆系统。
2、检测操作
cat /etc/
cat /etc/
备注
对于不需要sshd服务的无需配置该项。
中心机房以外的服务器管理，暂时不做源地址限制。
4.2.3
安全基线项目名称
操作系统Linux用户umask安全基线要求项
#chmod 600/var/log/faillog
编辑/etc/system-auth文件，在
auth required
后面添加
auth required onerr=fail deny=3unlock_time=60