1.システム内の冗長な自己構築アカウントをロックします。
確認方法:
コマンドを実行します。
#cat /etc /passwd
#cat /etc /shadow
アカウント、パスワードファイルを表示し、不要なアカウントをシステム管理者に確認します。 bin、sys、adm、uucp、lp、nuucp、hpdb、www、daemonなどの予約済みシステム疑似ア
1.システム内の冗長な自己構築アカウントをロックします。
確認方法:
コマンドを実行します。
#cat /etc /passwd
#cat /etc /shadow
アカウント、パスワードファイルを表示し、不要なアカウントをシステム管理者に確認します。 bin、sys、adm、uucp、lp、nuucp、hpdb、www、daemonなどの予約済みシステム疑似ア
バックアップ方法:
cp -p /etc/login.defs /etc/login.defs_bak
強化方法:
#vi /etc/login.defs設定ファイルの変更
PASS_MAX_DAYS 90#最長日数のユーザーパスワードの作成
PASS_MIN_DAYS 0#新しいユーザーパスワードの最小使用日数
PASS_WARN_AGE 7#新しいユーザーのパスワードの有効期限早期アラームの日数
PASS_MIN_LEN 8#パスワードの最小の長さ9
注意:ユーザーパスワードを最大限に区切る必要がある場合は、次のコマンドを使用してください。
passwd– x 99999 username;またはpasswd– x -1 username
リスク:目に見えるリスクはありません
3.
root以外のスーパーユーザーを無効にする
確認方法:
#cat /etc /passwdパスワードファイルを表示するパスワードファイルの形式は以下のとおりです。
login_name:password :user_ID:group_ID:コメント:home_dir:コマンド
login_name:ユーザー名
パスワード:暗号化されたユーザーパスワード
user_ID:ユーザーID、(1〜6000)ユーザーID = 0、ユーザーはスーパーユーザーの特権を持っています。 ID = 0が複数ある場合は、ここで確認してください。
group_ID:ユーザーグループID
コメント:ユーザーの氏名またはその他のコメント情報
home_dir:ユーザーのルートディレクトリ
コマンド:ユーザーログイン後の実行コマンド
バックアップ方法:
#cp -p /etc /passwd /etc /passwd_bak
強化方法:
コマンドpasswd -l<を使用します。ユーザー名>は不要なスーパーアカウントをロックします。
passwd -u< username>コマンドを使用して、回復する必要があるスーパーアカウントのロックを解除します。
リスク:このスーパーユーザーの使用は管理者に確認する必要があります。
4. shadowパスワードパスワードアカウントを確認します。
確認方法:
#awk -F:‘($ 2 =="){print $ 1}’ /etc /shadow
バックアップ方法:cp -p /etc /shadow /etc /shadow_bak
強化方法:空のパスワードアカウントをロックする(passwd– l username)、または要求パスワードを追加します。
注意:新しいアカウントが設定されていない場合、アカウントはデフォルトでロックされています。
リスク:空のパスワードアカウントがアプリケーションに関連付けられていることを確認するために、パスワードを追加するとアプリケーションが接続できなくなります。
5.適切な初期ファイル許可を設定します。
チェック方法:
#cat /etc /profile umaskの値を表示します。
バックアップ方法:
#cp -p /etc /profile /etc /profile_bak
強化方法:
#vi /etc /profile
umask 022
リスク:新しいファイルを変更するためのデフォルトの許可は(644)ですサーバーがWEBアプリケーションの場合、これは慎重に変更されます。
6.マシンのIPアドレスを管理できるようにアクセス制御ポリシー制限を設定します。
確認方法:
#cat /etc /ssh /sshd_config AllowUsersの有無にかかわらずステートメントを確認します。バックアップ方法:
#cp -p /etc /ssh /sshd_config /etc /ssh /sshd_config_bak
強化方法:
#vi /etc /Ssh /sshd_config、次の文を追加します。
AllowUsers *@10.138.*.*この文章の意味:10.138.0.0/16ネットワークセグメント上のすべてのユーザーのみがssh経由でのアクセスを許可されています。 Service
#service sshd restart
危険:管理者で管理できるIPセグメントを確認する必要があります。
7. rootユーザーのリモートログインを無効にします。
確認方法:
#cat /etc /ssh /sshd_config PermitRootLoginがnoであるかどうかを確認します。
バックアップ方法:
#cp -p /etc /ssh /sshd_config /etc /ssh /Sshd_config_bak
強化方法:
#vi /etc /ssh /sshd_config
PermitRootLogin no
保存後にsshサービスを再起動してください。
サービスSshd restart
危険:rootユーザーは直接ログインできません。通常のアカウントでログインする必要がありますsu
8.対象ホスト
確認方法:
#cat /etc/hosts.equivホストを表示
#cat /$HOME/.rhostsホストを表示
バックアップ方法:
#cp -p /etc/hosts.equiv /etc/hosts.equiv_bak
#cp -p /$HOME/.rhosts /$HOME/.rhosts_bak
強化方法:
#vi /etc/hosts.equiv不要なホストを削除する
#vi /$HOME/.rhosts不要なホストを削除する
危険:中マルチマシンの代替環境では、他のホストのIPを信頼する必要があります。
9.ログインバナー情報をブロックします。
確認方法:
#cat /etc /ssh /sshd_configファイルにBannerフィールドがあるか、バナーフィールドがNONEであるか確認します。
#cat /etc /motdファイルの内容を確認すると、その内容がログインユーザーにバナー情報として表示されます。
バックアップ方法:
#cp -p /etc /ssh /sshd_config /etc /ssh /sshd_config_bak
#cp -p /etc /motd /etc /motd_bak < Br>
強化方法:
#vi /etc /ssh /sshd_config
bannerなし
#vi /etc /motd
すべて削除追加するコンテンツへのコンテンツまたは更新
リスク:目に見えるリスクはありません
10.誤ってCtrl + Alt + Delキーを押してシステムを再起動しないようにします。
確認方法:
#cat /etc /inittab
開始からnginxの0.7.48バージョンは、イカキャッシュは、同様の機能をサポートします。このキャッシュは、ハードディスクに保存されたハッシュでエンコードされたキー、MD5などURLおよび関連ポー
LinuxでHTTPトラフィックをスニッフィングするためのhttpryの使用チュートリアル必要に応じてHTTPトラフィックをスニッフィングしたい場合があります。その後、LinuxでHTTPトラフィック
OpvnVPN中国のフルネーム:仮想プライベートネットワーク。それは私設私設ネットワークを構築するために公衆ネットワーク設備を使用する技術です。いくつかの大企業、しばしば複数の地域、複数の支店で、デー
&gt;&gt; loadASCIIファイルを使用したload heart_scaleのエラーheart_scaleの3行目の列数は、前の行の列数と同じである必要があります。 READMEには