https://www.cnblogs.com/wangyang0210/p/13593936.html
##################################################################################################LINUX 配置规范######################################################################################################!/bin/bash##检查口令最小长度cp /etc/login.defs /etc/login.defs.backsed -i "/^PASS_MIN_LEN/c PASS_MIN_LEN 8" /etc/login.defs##检查口令生存周期sed -i "/^PASS_MAX_DAYS/c PASS_MAX_DAYS 90" /etc/login.defs##检查设备密码复杂度策略cp /etc/pam.d/system-auth /etc/pam.d/system-auth.baksed -i "/^password/i password requisite pam_cracklib.so ucredit=-1 lcredit=-1 dcredit=-1" /etc/pam.d/system-auth##检查是否设置文件与目录缺省权限cp /etc/profile /etc/profile.baksed -i "/umask 002/c umask 027" /etc/profile##检查是否设置命令行界面超时退出sed -i "/^TMOUT=1800/c TMOUT=300" /etc/profile##检查是否限制root用户远程登录cp /etc/ssh/sshd_config /etc/ssh/sshd_config.baksed -i "/^PermitRootLogin/c PermitRootLogin no" /etc/ssh/sshd_config#重启sshd服务##检查是否配置远程日志功能cp /etc/rsyslog.conf /etc/rsyslog.conf.baksed -i "/*.* @@remote-host:514/c *.* @@remote-host:514" /etc/rsyslog.conf##检查是否配置用户所需最小权限#检查/etc/group文件权限# chmod 644 /etc/group#检查/etc/passwd文件权限# chmod 644 /etc/passwd#检查/etc/shadow文件权限chmod 600 /etc/shadow##检查是否修改系统banner#删除"/etc"目录下的 issue.net 和 issue 文件:mv /etc/issue /etc/issue.bakmv /etc/issue.net /etc/issue.net.bak##sshd弱算法cp /etc/ssh/sshd_config /etc/ssh/sshd_config.bakecho "Ciphers aes128-ctr,aes192-ctr,aes256-ctr,aes128-cbc,3des-cbc" >> /etc/ssh/sshd_configsystemctl restart sshd.service##检查是否安装OS补丁#可以使用OnlineUpdate或Patch CD Update等方式升级系统补丁##检查FTP Banner设置#1.修改vsftp回显信息## vi /etc/vsftpd.conf(或/etc/vsftpd/vsftpd.conf)#ftpd_banner=” Authorized users only. All activity will be monitored and reported.”#可根据实际需要修改该文件内容。#重启服务:## /etc/init.d/vsftpd restart#2.修改pure-ftp配置文件:##vi /etc/pure-ftpd/pure-ftpd.conf#找到以下行,确保该行未被注释。#FortunesFile /usr/share/fortune/zippy#编辑/usr/share/fortune/zippy文件(如没有fortune文件夹或者zippy文件,则新建该文件夹或该文件):##vi /usr/share/fortune/zippy#将自定义BANNER写入其中。#重启服务:## /etc/init.d/pure-ftpd restart##检查FTP用户上传的文件所具有的权限#如果系统使用vsftp:#修改/etc/vsftpd.conf(或者为/etc/vsftpd/vsftpd.conf)## vi /etc/vsftpd.conf#确保以下行未被注释掉,如果没有该行,请添加:#write_enable=YES //允许上传。如果不需要上传权限,此项可不进行更改。#ls_recurse_enable=YES#local_umask=022 //设置用户上传文件的属性为755#anon_umask=022 //匿名用户上传文件(包括目录)的 umask#重启网络服务## /etc/init.d/vsftpd restart#如果系统使用pure-ftp#修改/etc/pure-ftpd/pure-ftpd.conf## vi /etc/pure-ftpd/pure-ftpd.conf#确保以下行未被注释掉,如果没有该行,请添加:#umask 177:077#重启ftp服务##/etc/init.d/pure-ftpd restart##检查是否关闭不必要的服务和端口#检查是否关闭tftp服务#chkconfig [--level levels] tftp off#注:levels为运行级别,需要重启机器#检查是否关闭sendmail服务#chkconfig [--level levels] sendmail off#注:levels为运行级别,需要重启机器#检查是否关闭ypbind服务#chkconfig [--level levels] ypbind off#注:levels为运行级别,需要重启机器#检查是够关闭kshell服务#hkconfig [--level levels] kshell off#注:levels为运行级别,需要重启机器#检查是否关闭lpd服务#chkconfig [--level levels] lpd off#注:levels为运行级别,需要重启机器#检查是否关闭ident服务#chkconfig [--level levels] ident off#注:levels为运行级别,需要重启机器#检查是否关闭time服务#chkconfig [--level levels] time off#chkconfig [--level levels] time-udp off#注:levels为运行级别,需要重启机器#检查是否关闭ntalk服务#chkconfig [--level levels] ntalk off#注:levels为运行级别,需要重启机器#检查是否关闭bootps服务#chkconfig [--level levels] bootps off#注:levels为运行级别,需要重启机器#检查是否关闭chargen服务#chkconfig [--level levels] chargen off#chkconfig [--level levels] chargen-udp off#注:levels为运行级别,需要重启机器#检查是否关闭nfs服务#chkconfig [--level levels] nfs off#注:levels为运行级别,需要重启机器#检查是否关闭daytime服务#chkconfig [--level levels] daytime off#注:levels为运行级别,需要重启机器#检查是否关闭printer服务#chkconfig [--level levels] printer off#注:levels为运行级别,需要重启机器#检查是否关闭nfslock服务#chkconfig [--level levels] nfslock off#注:levels为运行级别,需要重启机器#检查是否关闭echo服务#chkconfig [--level levels] echo off#chkconfig [--level levels] echo-udp off#注:levels为运行级别,需要重启机器#检查是否关闭discard服务#chkconfig [--level levels] discard off#chkconfig [--level levels] discard-udp off#注:levels为运行级别,需要重启机器#检查是否关闭klogin服务#chkconfig [--level levels] klogin off#注:levels为运行级别,需要重启机器##检查是否限制用户FTP缺省访问权限#配置方法:#打开/etc/vsftpd/chroot_list 文件,将需要限制的用户名加入到文件中。##检查是否删除了潜在危险文件#1 是否删除.netrc 文件# 1.执行命令find / -maxdepth 3 -name .netrc 2>/dev/null# 2.进入到.netrc文件存在的目录# 3.执行命令:mv .netrc .netrc.bak#2 是否删除hosts.equiv文件# 1.执行命令find / -maxdepth 3 -name hosts.equiv 2>/dev/null# 2.进入到hosts.equiv文件存在的目录# 3.执行命令:mv hosts.equiv hosts.equiv.bak#3 是否删除.rhosts 文件# 1.执行命令find / -maxdepth 3 -name .rhosts 2>/dev/null# 2.进入到.rhosts文件存在的目录# 3.执行命令:mv .rhosts .rhosts.bak##检查是否禁止root用户登录FTP#1 禁止root登录VSFTP# 编辑/etc/ftpusers(或/etc/vsftpd/ftpusers)文件# 添加root#2 禁止root登录WU-FTP# 在/etc/ftpusers文件中加入下列行# root##检查是否启用SSH协议,禁用telnet协议#1 应配置ssh协议,并安全配置sshd# 通过#/etc/init.d/sshd start 来启动 SSH服务#2 应禁用telnet协议# 利用命令rpm -qa |grep telnet查看是否安装telnet 和telnet server# 如果安装的话 编辑/etc/xinetd.d/telnet, 修改 disable = yes。# 激活xinetd服务。命令如下:# # service xinetd restart# 如果没安装则说明禁用telnet服务##检查是否启用cron行为日志功能#1 syslog-ng是否启用记录cron行为日志功能# 在/etc/syslog-ng/syslog-ng.conf中添加# filter f_cron { facility(cron); };# destination cron { file("/var/log/cron"); };# log { source(src); filter(f_cron); destination(cron); };# 其中/var/log/cron为日志文件。# 如果该文件不存在,则创建该文件,命令为:# touch /var/log/cron,并修改权限为775.命令为:chmod 775 /var/log/cron.#2 rsyslog是否启用记录cron行为日志功能 编辑/etc/rsyslog.conf文件,# 配置:# cron.* /var/log/cron ,# 其中/var/log/cron为日志文件。# 如果该文件不存在,则创建该文件,命令为:# touch /var/log/cron,并修改权限为775.命令为:chmod 775 /var/log/cron.#3 syslog是否启用记录cron行为日志功能 编辑/etc/syslog.conf文件,# 配置:# cron.* /var/log/cron ,# 其中/var/log/cron为日志文件。# 如果该文件不存在,则创建该文件,命令为:# touch /var/log/cron,并修改权限为775.命令为:chmod 775 /var/log/cron.##检查是否禁止匿名用户登录FTP#1 禁止匿名WU-FTP用户登录# 在/etc/passwd文件中,删除ftp用户#2 禁止匿名VSFTP用户登录# 编辑/etc/vsftpd.conf(或/etc/vsftpd/vsftpd.conf)文件,设置:anonymous_enable=NO##检查是否启用syslog日志审计#1.# Redhat5.x之前(包括5.x):编辑/etc/syslog.conf,# Redhat 6.x:编辑/etc/rsyslog.conf,# 配置:# authpriv.* /var/log/secure#2.# 创建/var/log/secure文件# touch /var/log/secure#3.# 重启syslog服务##检查日志文件是否非全局可写#检查/var/log/mail文件是否other用户不可写 位比较小于等于 775 执行命令:chmod 775 /var/log/mail#检查/var/log/boot.log是否是否other用户不可写 位比较小于等于 775 执行命令:chmod 775 /var/log/boot.log#检查/var/log/secure文件是否other用户不可写 位比较小于等于 775 执行命令:chmod 775 /var/log/secure#检查/var/log/messages文件是否不可被其他用户修改 位比较小于等于 755 执行命令:chmod 755 /var/log/messages#检查/var/log/cron日志文件是否other用户不可写 位比较小于等于 775 执行命令:chmod 775 /var/log/cron#检查/var/log/spooler文件是否other用户不可写 位比较小于等于 775 执行命令:chmod 775 /var/log/spooler#检查/var/log/maillog文件是否other用户不可写 位比较小于等于 775 执行命令:chmod 775 /var/log/maillog##检查是否限制用户su到root#sed -i "/^auth/i auth sufficient pam_rootok.so" /etc/pam.d/su#sed -i "/^auth/i auth required pam_wheel.so group=wheel" /etc/pam.d/su##检查是否按用户分配账号#为用户创建账号:#useradd username #创建账号#passwd username #设置密码#修改权限:#chmod 750 directory #其中750为设置的权限,可根据实际情况设置相应的权限,directory是要更改权限的目录)#使用该命令为不同的用户分配不同的账号,设置不同的口令及权限信息等。##是否删除与设备运行、维护等工作无关的账号#删除用户:#userdel username;#锁定用户:#usermod -L username#只有具备超级用户权限的使用者方可使用.#usermod –U username可以解锁。#补充操作说明#需要锁定的用户:#listen,gdm,webservd,nobody,nobody4,noaccess。##检查是否按组进行账号管理#1.执行备份:#cp -p /etc/group /etc/group.bak#2.创建新的用户组#groupadd 组名#usermod -g 组名 -d 用户目录 -m 用户名#把用户添加进入某个组(s)或参考usermod --help说明进行设置##################################################################################################NGINX 配置规范#######################################################################################################检查是否启用日志功能---记录错误日志#编辑nginx.conf文件(eg:/usr/local/nginx/conf/nginx.conf),去掉error_log前面的"#"号##检查是否启用日志功能---记录访问日志#编辑nginx.conf文件(eg:/usr/local/nginx/conf/nginx.conf),设置access_log,去掉前面的注释,修改配置文件如下:#log_format formatname '$remote_addr - $remote_user [$time_local] '#' "$request" $status $body_bytes_sent "$http_referer" '#' "$http_user_agent" "$http_x_forwarded_for"';#access_log logs/access.log formantname;#formatname是设置配置文件格式的名称##检查是否限制IP访问#编辑nginx.conf文件(eg:/usr/local/nginx/conf/nginx.conf)#具体设置举例如下:#location / {#deny 192.168.1.1; #拒绝IP#allow 192.168.1.0/24; #允许IP#allow 10.1.1.0/16; #允许IP#deny all; #拒绝其他所有IP#}#根据应用场景,设置合适的IP地址##检查是否隐藏nginx服务信息头#配置在http中server_tokens off;server_tag off;server_info off;##检查是否自定义错误信息#修改nginx_install_dir/conf/nginx.conf文件#在每个站点server里添加自定义错误页面,例如:#error_page 404 /404.html;#404.html为具体的自定义错误页面,需要纺织在站点的根目录下,一版是nginx_install_dir/html/目录下##配置完毕后采用nginx_install_dir/sbin/nginx -t测试配置文件是否正确。#之后平滑重启nginx#nginx_install_dir/sbin/nginx -s reload##检查是否控制超时时间---客户端保持活动的超时时间#http#keepalive_timeout 120;#重新启动nginx服务#需要根据应用场景的需要选择合适的参数值##检查是否控制超时时间---客户端请求读取超时时间#http#client_header_timeout 10; #设置客户端请求头读取超时时间#重新启动nginx服务#需要根据应用场景的需要选择合适的参数值##检查是否限制客户端下载的并发连接数#编辑nginx.conf文件(eg:/usr/local/nginx/conf/nginx.conf)#具体设置如下:#例如网站存放路径为/usr/local/nsfocus/ ,服务器名称为:down.nsfocus.com#http {#……#limit_zone one $binary_remote_addr 10m;##针对每个IP定义一个存储session状态的容器,10m的容器按照32bytes/session,可以处理320000个session#server#{#listen 80#server_name down.nsfocus.com;#index index.html index.htm index.php;#root /usr/local/nsfocus;##Zone limit;#location / {#limit_conn one 1; #限制每个ip只能发起一个并发连接#limit_rate 20k; #限制每个连接的限制速度为20K,IP的下载速度为连接数*限制速度#}#………#}#重启nginx服务#根据应用场景的需要进行并发数、速度限制#注:#limit_zone 这个变量只能在http中使用#limit_coon和limit_rate变量可以在http,server,location中使用##检查是否控制超时时间---响应客户端的超时时间#编辑nginx.conf文件(eg:/usr/local/nginx/conf/nginx.conf)#具体设置如下:#send_timeout 10; #指定响应客户端的超时时间#重新启动nginx服务#需要根据应用场景的需要选择合适的参数值##检查是否配置防盗链接设置#编辑nginx.conf文件(eg:/usr/local/nginx/conf/nginx.conf)#具体设置举例如下:#location ~* ^.+\.(gif|jpg|png|swf|flv|rar|zip)$ {#valid_referers none blocked www.baidu.com;#if ($invalid_referer) {#rewrite ^/ [img]http://www.nsfocus.com/images/default/logo.gif[/img];## return 403;#}#}#根据应用场景,设置合适的域名#重新启动nginx服务#注:#1.gif|jpg|png|swf|flv|rar|zip#表示对gif、jpg、png、swf、flv后缀的文件实行防盗链#2.www.baidu.com#表示对www.baidu.com这个来路进行判断#3.if{}里面内容的意思是,如果来路不是指定来路就跳转到错误页面,当然直接返回404也是可以的##检查是否限制客户端的下载速度#编辑nginx.conf文件(eg:/usr/local/nginx/conf/nginx.conf)#具体设置如下:#例如网站存放路径为/usr/local/nsfocus/ ,服务器名称为:down.nsfocus.com#http {#……#limit_zone one $binary_remote_addr 10m;##针对每个IP定义一个存储session状态的容器,10m的容器按照32bytes/session,可以处理320000个session#server#{#listen 80#server_name down.nsfocus.com;#index index.html index.htm index.php;#root /usr/local/nsfocus;##Zone limit;#location / {#limit_conn one 1; #限制每个ip只能发起一个并发连接#limit_rate 20k; #限制每个连接的限制速度为20K,IP的下载速度为连接数*限制速度#}#………#}#重启nginx服务#根据应用场景的需要进行并发数、速度限制#注:#limit_zone 这个变量只能在http中使用#limit_coon和limit_rate变量可以在http,server,location中使用
若有收获,就点个赞吧
0 人点赞
