本文已参与 ⌈新人创作礼⌋ 活动，一起开启掘金创作之路

linux操作系统安全基线配置笔记

5、检查主机是否关闭了不必要的服务

1、检查操作：
    执行：chkconfig --list，建议禁止以下服务：
    printer、tftp、lpd、nfs、nfs.lock、ypbind、daytime、sendmail、ntalk、ident、bootps、kshell、klogin
2、检查操作：
chkconfig  --list sendmail 显示sendmail服务是否在系统启动时启动
备注：Redhat7、CentOS 7参考systemctl等命令

6、设备安全事件审计

检查操作：
    执行：cat /etc/syslog.conf
    输出结果：查看以下内容
    *.err        /var/log/errors
    authpriv.info    /var/log/authpriv_info
    *.info        /var/log/info

    执行以下命令：
    #more /var/log/errors
    #more /var/log/authpriv_info
    #more /var/log/info
    输出结果：查看/var/log/errors，/var/log/messages，查看安全事件审计情况
（备注：有返回结果则表示安全事件审计正常，符合安全要求；Redhat5、Redhat6、Redhat7、Redhat8系统中安装的包名可能为syslog、rsyslog、syslog-ng；请结合实际情况查找并修改配置文件）"

7、检查FTP安全

以vsftp为例，打开/etc/vsftpd/chroot_list文件，将需要限制的用户名加入到文件中。
禁止root登陆FTP，在ftpaccess文件中加入下列行 root。
禁止匿名ftp，以vsftpd为例：打开vsftd.conf文件，修改anonymous_enable=NO。
设置FTPBanner：
使用vsftpd，则修改下列文件的内容：
/etc/vsftpd.d/vsftpd.conf
使用wu-ftpd，则需要修改文件/etc/ftpaccess，在其中添加：
banner /path/to/ftpbanner
在指定目录下创建包含ftp的banner信息的文件

8、系统banner安全配置

查看/etc/rc.d/rc.local或者/etc/rc.local及/etc/isue.net和/etc/issue文件中banner内容是否配置，
banner参考说明如下：
You have logged onto a secured server..All accesses logged！

9、检查SNMP是否修改默认通讯字符串

1、检查SNMP是否开启，若未开启，则符合要求。若开启，执行第2步。
检查操作：
chkconfig  --list snmpd  显示snmpd服务是否启动，所有运行级别下均为关闭，则符合要求。

2、若SNMP开启，检查是否使用默认字符串，如未修改，则不符合要求。
检查操作：
执行：cat /etc/snmp/snmpd.conf
   输出结果：检查SNMP的通讯字符串rocommunity或rwcommunity是否是默认的public（只读）和private（可写）
（备注：应更改默认团体名public和private，才能满足安全要求）