| 检查项 | 注释: | |
|---|---|---|
| 1 | 限制 at/cron给授权的用户: cd /etc/ rm -f cron.deny at.deny echo root >cron.allow echo root >at.allow chown root:root cron.allow at.allow chmod 400 cron.allow at.allow | Cron.allow和at.allow文件列出了允许允许crontab和at命令的用户名单, 在多数系统上通常只有系统管理员才需要运行这些命令 |
| 5 | Crontab文件限制访问权限: chown root:root /etc/crontab chmod 400 /etc/crontab chown -R root:root /var/spool/cron chmod -R go-rwx /var/spool/cron chown -R root:root /etc/cron.* chmod -R go-rwx /etc/cron.* | 系统的crontab文件应该只能被cron守护进程(它以超级用户身份运行)来访问,一个普通用户可以修改crontab文件会导致他可以以超级用户身份执行任意程序 |
| 6 | 建立恰当的警告banner: echo “Authorized uses only. All activity may be \ monitored and reported.” >>/etc/motd chown root:root /etc/motd chmod 644 /etc/motd echo “Authorized uses only. All activity may be \ monitored and reported.” >> /etc/issue echo “Authorized uses only. All activity may be \ monitored and reported.” >> /etc/issue.net | 改变登录banner可以隐藏操作系统类型和版本号和其它系统信息,这些信息可以会对攻击者有用. |
| 7 | 限制root登录到系统控制台: cat < |
通常应该以普通用户身份访问系统,然后通过其它授权机制(比如su命令和sudo)来获得更高权限,这样做至少可以对登录事件进行跟踪 |
| 8 | 设置守护进程掩码 vi /etc/rc.d/init.d/functions 设置为 umask 022 | 系统缺省的umask 值应该设定为022以避免守护进程创建所有用户可写的文件 |
最后编辑: kuteng 文档更新时间: 2021-12-02 09:11 作者:kuteng
