CentOS 6 服务器安全策略配置

场景

方案

检查最小密码长度

在文件/etc/login.defs中设置 PASS_MIN_LEN 不小于标准值

检查密码复杂度策略中设置的特殊字符个数

Redhat系统：修改/etc/pam.d/system-auth文件, 在ucredit=-1 lcredit=-1 dcredit=-1 ocredit=-1 选3种，追加到password requisite pam_cracklib.so后面，添加到配置文件中。 例如：password requisite pam_cracklib.so ucredit=-1 lcredit=-1 dcredit=-1 注：ucredit：大写字母个数；lcredit：小写字母个数；dcredit：数字个数；ocredit：特殊字符个数

检查是否使用PAM认证模块禁止wheel组之外的用户su为root

编辑su文件(vi /etc/pam.d/su)，在开头添加下面两行： auth sufficient pam_rootok.so 和 auth required pam_wheel.so group=wheel 这表明只有wheel组的成员可以使用su命令成为root用户。 你可以把用户添加到wheel组，以使它可以使用su命令成为root用户。 添加方法为：usermod –G wheel username

检查文件/etc/profile中umask设置

在文件/etc/profile中设置umask 027或UMASK 027，如果文件中含有umask参数，则需要在最前面设置该参数

检查是否禁止root用户远程telnet登录

编辑 /etc/pam.d/login文件，配置auth required pam_securetty.so

检查是否禁止root用户远程ssh登录

修改/etc/ssh/sshd_config文件,配置PermitRootLogin no。重启服务，/etc/init.d/sshd restart。

syslog-ng是否配置远程日志功能

在/etc/syslog-ng/syslog-ng.conf中配置destination logserver { udp("10.10.10.10" port(514)); }; log { source(src); destination(logserver); }; 可以将此处10.10.10.10替换为实际的IP

rsyslog是否配置远程日志功能

修改配置文件vi /etc/rsyslog.conf， 加上这一行： *.* @192.168.0.1 可以将"*.*"替换为你实际需要的日志信息。比如：kern.* ; mail.* 等等。 可以将此处192.168.0.1替换为实际的IP或域名(域名格式形如：www.nsfocus.com,根据具体情况填写)。 

syslog是否配置远程日志功能

修改配置文件vi /etc/syslog.conf， 加上这一行： *.* @192.168.0.1 可以将"*.*"替换为你实际需要的日志信息。比如：kern.* ; mail.* 等等。 可以将此处192.168.0.1替换为实际的IP或域名(域名格式形如：www.nsfocus.com,根据具体情况填写)。 

限制用户FTP缺省访问权限

配置方法： 打开/etc/vsftpd/chroot_list 文件，将需要限制的用户名加入到文件中。

应删除系统banner信息，避免泄漏操作系统泄漏

删除"/etc"目录下的 issue.net 和 issue 文件： # mv /etc/issue /etc/issue.bak # mv /etc/issue.net /etc/issue.net.bak