本文已参与 ⌈新人创作礼⌋ 活动，一起开启掘金创作之路

linux操作系统安全基线配置笔记

Linux操作系统安装完成后，系统当中的一些默认设置并不符合安全要求，甚至存在被攻击的风险；因此，对初始化配置进行配置修改，使其符合安全要求，可大大减少被攻击的风险。

1、检测系统自带的与设备运行、维护等工作无关的账号是否被删除或锁定

检查操作： 
    执行：cat /etc/shadow，确认是否存在与业务无关的账号
    建议：锁定的用户：Adm、lp、sync、shutdown、halt、news、uucp、operator、games

符合：/etc/shadow中Adm、lp、sync、shutdown、halt、news、uucp、operator、games帐号密码字段为LK等锁定状态

不符合：/etc/shadow中Adm、lp、sync、shutdown、halt、news、uucp、operator、games帐号配置了密码

2、检查root是否可以直接登录

1、查看是否已限制root账号telnet登录：
    执行：cat /etc/pam.d/login
    输出结果：确定以下内容未被注释：
  auth     required       pam_securetty.so
    执行：cat /etc/securetty
    输出结果：确定以下内容已被注释：
      pts/1
      pts/2
      .........
      Ptsn
（备注：满足以上配置则符合安全要求，代表禁止root用户以ssh方式远程登录）

2、查看是否已限制root账号SSH登录：
    执行：cat /etc/ssh/sshd_config
    输出结果：查看以下内容：
    PermitRootLogin no
（备注：PermitRootLogin no符合安全要求，代表禁止root用户以ssh方式远程登录）"

3、检查是否设置帐户定时自动登出

执行：cat /etc/profile命令，
输出结果：查看以下内容
TMOUT=300
export TMOUT

4、检查用户口令策略是否符合安全要求

检查操作：
1、检查口令策略的配置长度、复杂度安全要求
    执行：cat /etc/pam.d/passwd或
             cat /etc/pam.d/passwd-auth-ac命令
    输出结果：检查类似配置
password  requisite pam_cracklib.so minlen=8 ucredit=-1 lcredit=-1 dcredit=-1 ocredit=-1
//代表最短密码长度为8,其中至少包含一个大写字母，一个小写字母，一个数字和一个字符
2、检查操作：
    执行：cat /etc/login.defs |grep PASS命令，查看口令配置文件，查看是否设置以下信息
    输出结果：PASS_MAX_DAYS 90        //代表密码最大有效期限为90天
              PASS_WARN_AGE 7         //密码过期之前7天内发出报警信息 检查操作：
3、检查不能复用的密码个数
    执行cat  /etc/pam.d/passwd或
          cat /etc/pam.d/passwd-auth-ac命令，
    输出结果：查看以下内容：
password required pam_unix.so remember=5 use_authtok md5 shadow