linux setup

非root系統帳號登入方式(2/2)
●設定方式
–執行下列指令，列出所有使用者、UID及shell：
#awk -F： '{print $1 "：" $3 "：" $7}' /etc/passwd
–針對UID小於500之非root系統帳號，執行下列指令進行帳號鎖定與shell設定：
# usermod -L (系統帳號)
# usermod -s /sbin/nologin (系統帳號)

執行下列指令列出使用空白密碼之帳號：
# awk -F: '($2 == "") {print}' /etc/shadow

UID=0之帳號(2/2)
●設定方式
–執行下列指令，列出UID=0之帳號：
–# awk -F: '($3 == "0") {print}' /etc/passwd
–若存在非root帳號，可執行下列指令移除帳號或重新設定UID：
#userdel (帳號)
或
#usermod -u (UID) (帳號)

密碼最短使用期限(2/2)
●設定方式
–編輯/etc/login.defs檔案，新增或修改成以下內容：
PASS_MIN_DAYS 1
–針對進行上述設定前就已存在之使用者帳號，須再執行下列指令，使該帳號之密碼最短使用期限變更為1天：
#chage –m 1 (使用者帳號)

密碼最長使用期限(2/2)
●設定方式
–編輯/etc/login.defs檔案，新增或修改成以下內容：
PASS_MAX_DAYS 60
–針對進行上述設定前就已存在之使用者帳號，須再執行下列指令，才能使密碼最長使用期限變更為60天
#chage –M 60 (使用者帳號)

密碼到期前提醒使用者變更密碼(1/2)
●設定方式
–編輯/etc/login.defs檔案，新增或修改成以下內容
PASS_WARN_AGE 14
–針對進行上述設定前就已存在之使用者帳號，須再執行下列指令，才能使密碼到期前14天提醒使用者變更密碼
#chage -W 14 (使用者帳號)

密碼最小長度
●建議值
–12個字元
●說明
–這項原則設定決定使用者帳號的密碼可包含的最少字元數，預設值為8個字元
●設定方式
–編輯/etc/login.defs檔案，新增或修改成以下內容：
PASS_MIN_LEN 12

密碼規則設定方式
●設定方式
–編輯/etc/pam.d/system-auth檔案，新增或修改成以下內容：
password requisite pam_cracklib.so try_first_pass retry=3 minlen=12 dcredit=-1 ucredit=-1 ocredit=-1 lcredit=-1 difok=3

帳戶鎖定login 數目值
●建議值
–5
●說明
–這項原則設定決定使用者帳號被鎖定的嘗試登入失敗次數，以降低密碼暴力攻擊之影響
●設定方式
–編輯/etc/pam.d/system-auth檔案，在「pam_unix」前，新增或修改成以下內容：
auth required pam_tally2.so deny=5 onerr=fail

強制執行密碼歷程記錄
●建議值
–24
●說明
–這項原則設定決定重複使用舊密碼前，必須與使用者帳號相關的唯一新密碼數目
–這項原則可讓系統管理員藉由確定不再繼續重複使用舊密碼，以增加安全性
●設定方式
–編輯/etc/pam.d/system-auth檔案，新增或修改成以下內容：
password sufficient pam_unix.so existing_options remember=24

密碼到期後，帳號停用前的天數
●設定方式
–編輯/etc/default/useradd檔案，新增或修改成以下內容：
INACTIVE=30
–針對進行上述設定前就已存在之使用者帳號，須再執行下列指令，才能使密碼到期後，超過30天就進行帳號停用：
#chage -I 30 (使用者帳號)


Bash shell閒置時登出時間
●設定方式
–在/etc/profile.d目錄下新增tmout.sh檔案，並在檔案增加以下內容：
TMOUT=900
readonly TMOUT
export TMOUT

SELinux啟用狀態
●建議值
–enforcing
●說明
–這項原則設定決定系統開機時是否啟用SELinux，以及啟用的模式
–設定為enforcing：表示系統強制執行SELinux，會阻擋有可能危害伺服器安全的操作
●設定方式
–編輯/etc/selinux/config檔案，新增或修改成以下內容：
SELINUX=enforcing

SELinux政策
●建議值
–targeted
●說明
–這項原則設定決定SELinux運作時所採用之政策
–設定為targeted：此為預設設定，針對網路服務限制較多，針對本機限制較少
●設定方式
–編輯/etc/selinux/config檔案，新增或修改成以下內容：
SELINUXTYPE=targeted

開機載入程式啟用SELinux
●建議值
–啟用
●說明
–這項原則設定決定是否在開機載入程式中啟用SELinux
–SELinux設定檔(/etc/selinux/config)內容可被開機載入程式覆蓋，因此，須確認開機載入程式未停用SELinux，以確保SELinux正常運作
●設定方式
–編輯/etc/grub.conf檔案，移除selinux=0或enforcing=0內容

記錄變更登入與登出資訊事件
●設定方式
–編輯/etc/audit/audit.rules檔案，新增或修改成以下內容：
-w /var/log/faillog -p wa -k logins
-w /var/log/lastlog -p wa -k logins