suse11合规整改参考.docxVIP

Suse11合规整改参考 SUSE主机bash漏洞检查项 加固建议： 升级Bash程序的版本到最新版本，卸载老的版本 补充说明: 各系统提供商的详细漏洞建议（参考） /security/cve/CVE-2014-6271.html 2-6602-检查是否删除或锁定无关账号 判断条件： lp uucp nobody games rpm smmsp nfsnobody这些帐户不存在或者它们的密码字段为!! 命令： egrep -w "lp|nobody|uucp|games|rpm|smmsp|nfsnobody" /etc/shadow |awk -F: '($2!~"!") {print $1":"$2}' echo "result="`egrep -w "lp|nobody|uucp|games|rpm|smmsp|nfsnobody" /etc/shadow |awk -F: '($2!~"!") {print $1":"$2}'|wc -l` 方法： 有4个无用帐号未锁定 整改： vi /etc/shadow 把这些无用帐号锁定 在帐号冒号“：”后加“！！*LK*” 整改后合规 3-6614-检查是否记录帐户操作日志 判断条件： /var/adm目录下存在pacct文件 命令： ls -l /var/adm|grep pacct echo "result="`ls -l /var/adm|grep pacct|wc -l`  方法：1 touch /usr/sbin/accton #穿件文件 accton 文件位置 /usr/sbin/accton chmod 755 /usr/sbin/accton #修改文件权限 以便后面可以修改其位置 /usr/sbin/accton /var/adm/pact #修改文件位置 方法2： 如不存在acct请安装  4-6603-检查是否限制root远程登录 判断条件： /etc/ssh/sshd_config文件中PermitRootLogin值为no，并且/etc/security/user下值为pts 方法： 1修改/etc/ssh/sshd_config文件中PermitRootLogin值为no 2 重启ssh服务 service sshd restart 5-6604-检查是否按角色进行帐号管理 判断条件： /etc/passwd文件中，GID大于系统设定的GID_MIN并且小于GID_MAX，帐号名中不存在oracle、sybase、postgres、daemon、nobody、noaccess的角色数量大于等于1 命令： #boco##%6604#% #!/bin/bash UP_GIDMIN=`(grep -v ^# /etc/login.defs |grep "^GID_MIN"|awk '($1="GID_MIN") {print $2}')` UP_GIDMAX=`(grep -v ^# /etc/login.defs |grep "^GID_MAX"|awk '($1="GID_MAX") {print $2}')` egrep -v "oracle|sybase|postgres|daemon|nobody|noaccess" /etc/passwd|awk -F: '($4>='$UP_GIDMIN' && $4<='$UP_GIDMAX') {print $1":"$3":"$4}' echo $UP_GIDMIN $UP_GIDMAX echo "result="`egrep -v "oracle|sybase|postgres|daemon|nobody|noaccess" /etc/passwd|awk -F: '($4>='$UP_GIDMIN' && $4<='$UP_GIDMAX') {print $1":"$3":"$4}'|wc -l` unset UP_GIDMIN UP_GIDMAX #boco##%6604#% 方法： 再新增一个普通用户 useradd boco # 新增普通用户，为了防止使用敏感帐号root登录 passwd boco #设置密码 删除用户 userdel boco groupadd –g GID groupname  6-6605-检查口令策略设置是否符合复杂度要求 判断标准： /etc/pam.d/passwd文件中password required pam_cracklib.so配置minlen大于等于8， lcredit=-1、ucredit=-1、dcredit=-1、ocredit=-1配置必须存在两类； SUSE9: #vi /etc/pam.d/passwd，增加如下内容 p