(武林網香港空間、服務器租用托管)

1.1 鎖定系統中多余的自建帳號

檢查方法:

執行命令

#cat /etc/passwd

#cat /etc/shadow

查看賬戶、口令文件，與系統管理員確認不必要的賬號。對于一些保留的系統偽帳戶如：bin, sys，adm，uucp，lp, nuucp，hpdb, www, daemon等可根據需要鎖定登陸。

備份方法：

#cp -p /etc/passwd /etc/passwd_bak

#cp -p /etc/shadow /etc/shadow_bak

加固方法:

使用命令passwd -l <用戶名>鎖定不必要的賬號。

使用命令passwd -u <用戶名>解鎖需要恢復的賬號。

需要與管理員確認此項操作不會影響到業務系統的登錄

1.2設置系統口令策略

檢查方法：

使用命令

#cat /etc/login.defs|grep PASS查看密碼策略設置

備份方法：

cp -p /etc/login.defs /etc/login.defs_bak

加固方法：

#vi /etc/login.defs修改配置文件

PASS_MAX_DAYS 90 #新建用戶的密碼最長使用天數

PASS_MIN_DAYS 0 #新建用戶的密碼最短使用天數

PASS_WARN_AGE 7 #新建用戶的密碼到期提前提醒天數

PASS_MIN_LEN 9 #最小密碼長度9

風險：無可見風險

1.3禁用root之外的超級用戶

檢查方法：

#cat /etc/passwd 查看口令文件，口令文件格式如下：

login_name：password：user_ID：group_ID：comment：home_dir：command

login_name：用戶名

password：加密后的用戶密碼

user_ID：用戶ID，（1 ~ 6000） 若用戶ID=0，則該用戶擁有超級用戶的權限。查看此處是否有多個ID=0。

group_ID：用戶組ID

comment：用戶全名或其它注釋信息

home_dir：用戶根目錄

command：用戶登錄后的執行命令

備份方法：

#cp -p /etc/passwd /etc/passwd_bak

加固方法：

使用命令passwd -l <用戶名>鎖定不必要的超級賬戶。

使用命令passwd -u <用戶名>解鎖需要恢復的超級賬戶。

風險：需要與管理員確認此超級用戶的用途。

1.4 限制能夠su為root的用戶

檢查方法：

#cat /etc/pam.d/su,查看是否有auth required /lib/security/pam_wheel.so這樣的配置條目

備份方法：#cp -p /etc/pam.d /etc/pam.d_bak

加固方法：

#vi /etc/pam.d/su

在頭部添加：

auth required /lib/security/pam_wheel.so group=wheel

這樣，只有wheel組的用戶可以su到root

#usermod -G10 test 將test用戶加入到wheel組

風險：需要PAM包的支持；對pam文件的修改應仔細檢查，一旦出現錯誤會導致無法登陸；和管理員確認哪些用戶需要su。

當系統驗證出現問題時，首先應當檢查/var/log/messages或者/var/log/secure中的輸出信息，根據這些信息判斷用戶賬號的有效
性。如果是因為PAM驗證故障，而引起root也無法登錄，只能使用single user或者rescue模式進行排錯。

1.5 檢查shadow中空口令帳號

檢查方法：

#awk -F: '($2 == "") { print $1 }' /etc/shadow

備份方法：cp -p /etc/shadow /etc/shadow_bak

加固方法：對空口令賬號進行鎖定，或要求增加密碼