非root系統帳號登入方式(2/2)
●設定方式
–執行下列指令,列出所有使用者、UID及shell:
#awk -F: '{print $1 ":" $3 ":" $7}' /etc/passwd
–針對UID小於500之非root系統帳號,執行下列指令進行帳號鎖定與shell設定:
# usermod -L (系統帳號)
# usermod -s /sbin/nologin (系統帳號)
執行下列指令列出使用空白密碼之帳號:
# awk -F: '($2 == "") {print}' /etc/shadow
UID=0之帳號(2/2)
●設定方式
–執行下列指令,列出UID=0之帳號:
–# awk -F: '($3 == "0") {print}' /etc/passwd
–若存在非root帳號,可執行下列指令移除帳號或重新設定UID:
#userdel (帳號)
或
#usermod -u (UID) (帳號)
密碼最短使用期限(2/2)
●設定方式
–編輯/etc/login.defs檔案,新增或修改成以下內容:
PASS_MIN_DAYS 1
–針對進行上述設定前就已存在之使用者帳號,須再執行下列指令,使該帳號之密碼最短使用期限變更為1天:
#chage –m 1 (使用者帳號)
密碼最長使用期限(2/2)
●設定方式
–編輯/etc/login.defs檔案,新增或修改成以下內容:
PASS_MAX_DAYS 60
–針對進行上述設定前就已存在之使用者帳號,須再執行下列指令,才能使密碼最長使用期限變更為60天
#chage –M 60 (使用者帳號)
密碼到期前提醒使用者變更密碼(1/2)
●設定方式
–編輯/etc/login.defs檔案,新增或修改成以下內容
PASS_WARN_AGE 14
–針對進行上述設定前就已存在之使用者帳號,須再執行下列指令,才能使密碼到期前14天提醒使用者變更密碼
#chage -W 14 (使用者帳號)
密碼最小長度
●建議值
–12個字元
●說明
–這項原則設定決定使用者帳號的密碼可包含的最少字元數,預設值為8個字元
●設定方式
–編輯/etc/login.defs檔案,新增或修改成以下內容:
PASS_MIN_LEN 12
密碼規則設定方式
●設定方式
–編輯/etc/pam.d/system-auth檔案,新增或修改成以下內容:
password requisite pam_cracklib.so try_first_pass retry=3 minlen=12 dcredit=-1 ucredit=-1 ocredit=-1 lcredit=-1 difok=3
帳戶鎖定login 數目值
●建議值
–5
●說明
–這項原則設定決定使用者帳號被鎖定的嘗試登入失敗次數,以降低密碼暴力攻擊之影響
●設定方式
–編輯/etc/pam.d/system-auth檔案,在「pam_unix」前,新增或修改成以下內容:
auth required pam_tally2.so deny=5 onerr=fail
強制執行密碼歷程記錄
●建議值
–24
●說明
–這項原則設定決定重複使用舊密碼前,必須與使用者帳號相關的唯一新密碼數目
–這項原則可讓系統管理員藉由確定不再繼續重複使用舊密碼,以增加安全性
●設定方式
–編輯/etc/pam.d/system-auth檔案,新增或修改成以下內容:
password sufficient pam_unix.so existing_options remember=24
密碼到期後,帳號停用前的天數
●設定方式
–編輯/etc/default/useradd檔案,新增或修改成以下內容:
INACTIVE=30
–針對進行上述設定前就已存在之使用者帳號,須再執行下列指令,才能使密碼到期後,超過30天就進行帳號停用:
#chage -I 30 (使用者帳號)
Bash shell閒置時登出時間
●設定方式
–在/etc/profile.d目錄下新增tmout.sh檔案,並在檔案增加以下內容:
TMOUT=900
readonly TMOUT
export TMOUT
SELinux啟用狀態
●建議值
–enforcing
●說明
–這項原則設定決定系統開機時是否啟用SELinux,以及啟用的模式
–設定為enforcing:表示系統強制執行SELinux,會阻擋有可能危害伺服器安全的操作
●設定方式
–編輯/etc/selinux/config檔案,新增或修改成以下內容:
SELINUX=enforcing
SELinux政策
●建議值
–targeted
●說明
–這項原則設定決定SELinux運作時所採用之政策
–設定為targeted:此為預設設定,針對網路服務限制較多,針對本機限制較少
●設定方式
–編輯/etc/selinux/config檔案,新增或修改成以下內容:
SELINUXTYPE=targeted
開機載入程式啟用SELinux
●建議值
–啟用
●說明
–這項原則設定決定是否在開機載入程式中啟用SELinux
–SELinux設定檔(/etc/selinux/config)內容可被開機載入程式覆蓋,因此,須確認開機載入程式未停用SELinux,以確保SELinux正常運作
●設定方式
–編輯/etc/grub.conf檔案,移除selinux=0或enforcing=0內容
記錄變更登入與登出資訊事件
●設定方式
–編輯/etc/audit/audit.rules檔案,新增或修改成以下內容:
-w /var/log/faillog -p wa -k logins
-w /var/log/lastlog -p wa -k logins