RedHat linux系统加固

检查是否配置ntp服务：

备份cp /etc/ntp.conf  /etc/ntp.conf.bal1105

编辑vi /etc/ntp.conf

插入restrict 192.168.1.0 mask 255.255.255.0 nomodify notrap

启动ntpd服务：

service ntpd start

检查口令策略设置是否符合复杂度要求

cp -p /etc/pam.d/system-auth /etc/pam.d/system-auth_bak

vi /etc/pam.d/system-auth

可使用pam pam_cracklib module或pam_passwdqc module实现密码复杂度，两者不能同时使用

password requisite pam_cracklib.so dcredit=-1 ucredit=-1 lcredit=-1 ocredit=-1 minclass=2 minlen=8

password sufficient pam_unix.so md5 shadow nullok try_first_pass use_authtok

检查登录提示-是否设置登录成功后警告Banner

修改文件/etc/motd的内容，如没有该文件，则创建它。

#echo " Authorized users only. All activity may be monitored and reported " > /etc/motd

检查口令锁定策略

执行备份：

#cp -p /etc/pam.d/system-auth /etc/pam.d/system-auth_bak

修改策略设置：

#vi /etc/pam.d/system-auth

增加auth required pam_tally2.so deny=6 onerr=fail no_magic_root unlock_time=120

到第二行。

使配置生效需重启服务器。

检查主机访问控制(IP限制)

执行备份：

#cp -p /etc/hosts.allow /etc/hosts.allow_bak

#cp -p /etc/hosts.deny /etc/hosts.deny_bak

vim /etc/hosts.allow      #插入all:*.*.*.*:allow

vim /etc/hosts.deny     #插入sshd:555.555.555.555:DENY

检查口令生存周期要求

cp -p /etc/login.defs /etc/login.defs_bak

修改策略设置：

#vi /etc/login.defs

修改PASS_MIN_LEN的值为5，修改PASS_MAX_DAYS的值为90，按要求修改PASS_MIN_DAYS/PASS_WARN_AGE的值，保存退出

配置完成结果如下：#

PASS_MAX_DAYS 90

PASS_MIN_DAYS 0

PASS_MIN_LEN 5

PASS_WARN_AGE 7

检查是否禁止匿名ftp

修改/etc/vsftpd/vsftpd.conf

在配置文件中添加行：

anonymous_enable=NO

重启vsftpd服务  service vsftpd restart

检查FTP配置-限制FTP用户登录后能访问的目录

修改/etc/vsftpd/vsftpd.conf

确保以下行未被注释掉，如果没有该行，请添加：

chroot_local_user=YES

重启vsftpd服务 service vsftpd restart      重启网络服务

# /etc/init.d/xinetd restart 

检查是否配置远程日志保存

备份cp -p /etc/rsyslog.conf /etc/rsyslog.conf_bak 编辑vim /etc/rsyslog.conf

插入*.*(Tab)    @192.168.0.1

重启/etc/init.d/rsyslog stop      /etc/init.d/rsyslog start