- 结合系统要求和实际业务情况,删除或锁定与设备运行、维护等与工作无关的账号,用户分组管理,权限合理
,
配置方法如下:
- 检查/etc/passwd、禁用以下用户:uucp、nuucp、guest、daemon、bin、sys、adm、lp、invscout、imnadm、nobody。
- 使用usermod -L <username>命令给用户加锁。
- 用户允许登录最大数。将/etc/security/limits.conf文件中带有 maxlogins一行的#去掉。修改最大登录数
- 对ROOT可登录的控制台进行限制。
设置/etc/securetty删除不允许登录的TTY,除了TTY1和TTY2外,其他终端的前面都#。 - 对历史命令不做记录。编辑/etc/profile文件,将histsize=1000改为histsize=0,运行history -c清除历史记录
- /etc/audit/audit.rules
echo "-w /etc -k "CHECKETC" -p w" >> /etc/audit/audit.rules - 系统及XINETD服务检查。
执行:more /etc/inetd.conf,检查/etc/inetd.conf文件中的基本的网络服务的开启或禁止情况
建议在/etc/inetd.conf文件中注释下列不必要的服务。
建议注释下列不必要的基本网络服务如:sendmail,Shell、kshell、login、klogin、exec、comsat、uucp、bootps、finger、systat、netstat、tftp、talk、ntalk、rpc.rquotad、rpc.rexd、rpc.rusersd。执行下面命令禁止相关的服务
chkconfig --level 35 服务名 off
然后执行下列命令停止不需要的服务
service 服务名称 stop
- 不允许ROOT进行远程登录。
- 建议只有指定用户可以SU到ROOT。编辑/etc/pam.d/su文件,在文件头部加上:
auth required /lib/security/$ISA/pam_wheel.so
同时将用户加到wheel组:
usermod -G wheel username
将
auth required /lib/security/$ISA/pam_wheel.so
加入/etc/pam.d/su文件中,将来将创建的用户加入到wheel组中 - 关闭PING
执行 echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_all 命令,并将 echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_all 加入到/etc、rc.local文件中。 - 建议关闭以下端口 如:2208,640,5989,111,22,631,25,6010,2207
- 在/etc/inittab文件中,找到id:5:initdefault:这一行,将5改成3;同时在ca::ctrlaltdel:/sbin.shutdown -t3 -r now行前面加#。