1.1.1口令锁定策略 2、修改策略设置,编辑文件/etc/(vi/etc/),在文件中加入如下内容(如果存在则修改,不存在则添加): 1.1.3口令复杂度 1.1.5口令重复次数限制 3、修改策略设置 1.1.8启用远程日志功能 1.1.10限制root用户SSH远程登录(禁用root用户远程访问系统) 1.1.11限制root用户SSH远程登录(ssh协议使用版本2) 1.1.12使用SSH协议进行远程维护(ssh服务状态) 1.1.14系统coredump状态(/etc/security/) 1.1.15修改SSH的Banner信息 1.1.17控制远程访问的IP地址(denyno) 1.1.18配置NTP(ntp服务状态) 1.1.20禁止IP源路由
1、执行备份(1)、redhat执行备份:cp-p/etc//passwd/etc//(3)、SUSE10:unlock_time单位为秒accountrequiredpam_/etc//etc/_bak
PASS_MAX_DAYS90PASS_MIN_DAYS10PASS_WARN_AGE7
1、redhat系统
编辑文件/etc//system-auth,在文件中找到如下内容:passwordrequisitepam_,将其修改为:passwordrequisitepam__first_passretry=3dcredit=-1lcredit=-1ucredit=-1ocredit=-1minlen=8userdelusername(2)、锁定用户:锁定用户,只有具备超级用户权限的使用者方可使用。解锁用户,解锁后原有密码失效,登录设置新密码才能登录。解锁用户后,原密码仍然有效。(3)、修改用户shell域为/bin/false命令来更改相应用户的shell为/bin/false,其中[name]为要修改的具体用户名。
1、执行备份cp-p/etc//passwd/etc///etc/security/opasswdchmod600/etc/security/opasswd
cp/etc/profile/etc/、编辑文件/etc/profile,在文件末尾加上如下内容:umask0273、执行以下命令让配置生效:touch/etc/ssh_bannerchmod644/etc/ssh_banner/etc//sshdrestart
1、linux编辑文件/etc/或者/etc/,增加如下内容:*.*@日志服务器ip或者域名2、suse编辑文件/etc/syslog-ng/,增加如下内容:destinationlogserver{udp("192.168.56.168"port(514));};log{source(src);destination(logserver);};/etc//syslogstoptouch/var/adm/messages(2)、修改权限为666,命令为:/etc//syslogrestart2、编辑/etc/,在文件中加入如下内容:*.err;;/var/adm/messages,其中/var/adm/messages为日志文件。(1)、如果该文件不存在,则创建该文件,命令为:chmod666/var/adm/messages(3)、重启日志服务:/var/adm/msgs(2)、修改权限为666,命令为:/etc//syslogrestart1、执行备份:useraddusername3、禁止root用户远程登录系统(1)、编辑文件/etc/ssh/sshd_config(vi/etc/ssh/sshd_config),修改PermitRootLogin值为no并去掉注释。PermitRootLoginno/etc//sshdrestart4、修改SSH协议版本(1)、编辑文件/etc/ssh/sshd_config(vi/etc/ssh/sshd_config),修改Protocol的值为2并去掉注释。Protocol2(2)、重启ssh服务
1、执行备份:useraddusername则禁止了root从ssh登录。(2)、重启SSH服务/etc//sshdrestart
1、关闭TELNET服务(如果设备安装了TELNET服务则执行以下操作关闭,否则无需操作):(1)、备份servicexinetdrestart2、开启SSH服务:(1)、安装SSH软件包。(2)、通过以下命令启动ssh服务:cp-p/etc/profile/etc/profile_bak2、在/etc/profile文件增加以下两行(如果存在则修改,否则手工添加):TMOUT按秒计算exportTMOUT
1、编辑文件/etc/security/(vi/etc/security/),在文件末尾加入如下两行(存在则修改,不存在则新增):*softcore0*hardcore0
1、修改文件/etc/motd的内容,如没有该文件,则创建它:cp-p/etc//etc/_bak2、编辑/etc/文件,增加一行service:允许访问的IP(service为服务,例如sshd),举例如下:all:192.168.4.44:allow允许192.168.1.0的整个网段访问SSH服务进程
1、执行备份:拒绝一切远程访问配合文件使用。
1、编辑ntp的配置文件:/etc//ntpdstartvi/etc/在server一行添加ntp服务器的IP地址2、启动ntpd服务:suse9启动ntp服务为:/etc//xntpdstart
如果此项检查失败,请执行以下命令进行修复:vim/etc//添加以下内容vi/etc/,在空白处加入下面三行:orderhosts,bind第二项设置检测是否"/etc/hosts"文件中的主机是否拥有多个IP地址(比如有多个以太口网卡)。nospoofonvi/etc/,在空白处加入下面三行:orderhosts,bind第二项设置检测是否"/etc/hosts"文件中的主机是否拥有多个IP地址(比如有多个以太口网卡)。nospoofonsource/etc/profile
上一篇
下一篇