1./etc/motd

操作:echo " Authorized users only. All activity may be monitored and reported " > /etc/motd

效果:telnet和ssh登录后的输出信息

2. /etc/issue和/etc/issue.net

操作:echo " Authorized users only. All activity may be monitored and reported " > /etc/issue.net

效果:telnet主机未登录时输出的信息

3./etc/syslog.conf--远程日志服务配置文件

4./etc/sysctl.conf--操作系统配置文件

5./etc/vsftpd/vsftpd.conf--vsftpd配置文件

6./etc/ssh/sshd_config--ssh配置文件

7./etc/hosts.allow和/etc/hosts.deny--服务连接白名单/黑名单文件

8./etc/pam.d/system-auth--系统登录验证配置文件

9./etc/init/control-alt-delete.conf--ctrl+alt+del快捷键启用/禁用

10./etc/profile--环境变量配置文件,通常用于配置UMASK和TMOUT

11./etc/login.defs--口令(长度及有效时长等)配置文件

12.基线合规配置脚本(IP注意修改)

MDFDATE=`date +"%Y%m%d"`#add telnet and ssh banner
cp -p /etc/motd /etc/motd.bak${MDFDATE}
cp -p /etc/issue /etc/issue.bak${MDFDATE}
cp -p /etc/issue.net /etc/issue.net.bak${MDFDATE}
echo " Authorized users only. All activity may be monitored and reported " > /etc/motd
echo " Authorized users only. All activity may be monitored and reported " > /etc/issue
echo " Authorized users only. All activity may be monitored and reported " > /etc/issue.net
#/etc/init.d/xinetd restart#set ftp default right
cp -p /etc/vsftpd/vsftpd.conf /etc/vsftpd/vsftpd.conf.bak${MDFDATE}
sed -i 's/#ls_recurse_enable=/ls_recurse_enable=/g' /etc/vsftpd/vsftpd.conf
echo "anon_umask=022" >> /etc/vsftpd/vsftpd.conf
#vsftpd
sed -i '/^anonymous_enable=YES/d' /etc/vsftpd/vsftpd.conf
echo 'anonymous_enable=NO' >> /etc/vsftpd/vsftpd.conf
sed -i '/^chroot_local_user=/d' /etc/vsftpd/vsftpd.conf
echo 'chroot_local_user=YES' >> /etc/vsftpd/vsftpd.conf
sed -i '/^userlist_enable=/d' /etc/vsftpd/vsftpd.conf
echo 'userlist_enable=YES' >> /etc/vsftpd/vsftpd.conf
echo 'userlist_deny=NO' >> /etc/vsftpd/vsftpd.conf
echo 'userlist_file=/etc/vsftpd/ftpuser_deny' >> /etc/vsftpd/vsftpd.conf
cat> /etc/vsftpd/ftpuser_deny << EOF
root
daemon
bin
sys
adm
lp
uucp
nuucp
listen
nobody
noaccess
nobody4
EOF#close not need service
chkconfig cups off#forbidden icmp redirect
cp -p /etc/sysctl.conf /etc/sysctl.conf.bak${MDFDATE}
echo "net.ipv4.conf.all.accept_redirects=0" >> /etc/sysctl.conf
#sysctl -p#add remote log server
cp /etc/syslog.conf /etc/syslog.conf.bak${MDFDATE}
sed -i '/remote-host:514/a\*.info    @192.168.220.128' /etc/syslog.conf
echo 'auht.info       /var/log/authlog' >> /etc/syslog.conf
echo 'authpriv.*   /var/log/authlog' >> /etc/syslog.conf
echo '*.err;auth.info        /var/adm/messages' >> /etc/syslog.conf
touch /var/log/authlog
for f in `cat /etc/rsyslog.conf|grep -v "@"|grep -v "^#" |grep -v "^\$"|grep "/var" |grep -v "\-\/"|awk "{print$2}"`
do
chmod 640 $f
done#forbid root romote login
cp -p /etc/ssh/sshd_config /etc/ssh/sshd_config.bak${MDFDATE}
sed -i 's/^PermitRootLogin yes/#PermitRootLogin yes/g' /etc/ssh/sshd_config
sed -i '/PermitRootLogin yes/a\PermitRootLogin no' /etc/ssh/sshd_config
#/etc/init.d/sshd restart
sed -i 's/^pts/#pts/g' /etc/securetty
#ssh banner
touch /etc/sshbanner
chown bin:bin /etc/sshbanner
chmod 644 /etc/sshbanner
echo " Authorized users only. All activity may be monitored and reported "   > /etc/sshbanner
echo "Banner /etc/sshbanner" >> /etc/ssh/sshd_config
service sshd restart#limit ip to login
echo 'sshd:all:deny' >> /etc/hosts.deny
echo 'sshd:192.168.220.129:allow' >> /etc/hosts.allow
echo 'sshd:192.168.220.:allow' >> /etc/hosts.allow#add password limit
#password remember
#add auth clock
cp -p /etc/pam.d/system-auth /etc/pam.d/system-auth.bak${MDFDATE}
echo "" >> /etc/pam.d/system-auth
echo "password    requisite     pam_cracklib.so dcredit=-1 lcredit=-1 ocredit=-1 minclass=2 minlen=8" >> /etc/pam.d/system-auth
echo "password    sufficient    pam_unix.so remember=5 md5 shadow nullok try_first_pass use_authtok" >> /etc/pam.d/system-auth
echo "auth required pam_tally2.so deny=6 onerr=fail no_magic_root unlock_time=120" >> /etc/pam.d/system-auth#forbid ctrl+alt+del
cp -p /etc/inittab /etc/inittab.bak${MDFDATE}
sed -i '/ctrlaltdel/d' /etc/inittab
cp /etc/init/control-alt-delete.conf /etc/init/control-alt-delete.conf.bak${MDFDATE}
sed -i 's/^start/#start/g' /etc/init/control-alt-delete.conf
sed -i 's/^exec/#exec/g' /etc/init/control-alt-delete.conf#umask
cp -p /etc/profile /etc/profile.bak${MDFDATE}
sed -i 's/umask 022/umask 027/g' /etc/profile
echo 'umask 027' >> /etc/profile
sed -i '/^TMOUT.*/d' /etc/profile
echo "export TMOUT=540" >>/etc/profile
cp -p /etc/csh.cshrc /etc/csh.cshrc.bak${MDFDATE}
echo 'set autologout = 540' >> /etc/csh.cshrc#password file
chmod u+rw /etc/shadow
cp /etc/shadow /etc/shadow.bak${MDFDATE}
sed -i 's/^lp:/lp:!!/g' /etc/shadow
sed -i 's/^nobody:/nobody:!!/g' /etc/shadow
sed -i 's/^uucp:/uucp:!!/g' /etc/shadow
sed -i 's/^games:/games:!!/g' /etc/shadow
sed -i 's/^rpm:/rpm:!!/g' /etc/shadow
sed -i 's/^smmsp:/smmsp:!!/g' /etc/shadow
sed -i 's/^nfsnobody:/nfsnobody:!!/g' /etc/shadow
chmod 0644 /etc/passwd
chmod 0400 /etc/shadow
chmod 0644 /etc/groupcp /etc/login.defs /etc/login.defs.bak${MDFDATE}
sed -i 's/PASS_MIN_LEN.*5*/PASS_MIN_LEN    8/g'  /etc/login.defs
sed -i 's/PASS_MAX_DAYS.*99999/PASS_MAX_DAYS   90/g' /etc/login.defs#application user
#useradd -U forchk

View Code

Linux基线合规检查中各文件的作用及配置脚本相关推荐

  1. K8s:开源安全平台 kubescape 实现 Pod 的安全合规检查/镜像漏洞扫描

    写在前面 生产环境中的 k8s 集群安全不可忽略,即使是内网环境 容器化的应用部署虽然本质上没有变化,始终是机器上的一个进程 但是提高了安全问题的处理的复杂性 分享一个开源的 k8s 集群安全合规检查 ...

  2. Android 申请权限前简单封装弹框阐述申请理由工具类,应付app合规检查

    近段时间浏览新闻经常会看到工信部通报某某app合规检查不合格,拒不整改,勒令全部下架这些信息,尤其是金融类app.个人信息的保护对用户确实是非常重要的,相信绝大多数行业工作者也感觉到了这些年国家对互联 ...

  3. 安全合规/GDPR--20--GDPR中处理活动的记录和特殊情形下的克减

    为什么是第30条和第49条? 第30条为处理活动的记录,这就意味着你要符合GDPR合规,就要对所有处理活动做好记录工作,也就是说要准备xx材料xx材料xx材料--!!! 第49条为特殊情形下的克减,这 ...

  4. linux中fstab文件的作用,如何在Linux上写入fstab文件 | MOS86

    在Linux计算机上添加新的硬盘驱动器或固态驱动器? 您需要编辑fstab文件. 很多人觉得这个主意很吓人. 是的,至关重要的是您要正确,但掌握了正确的知识,这确实并不困难. 我们将引导您完成编辑fs ...

  5. linux中patch文件的作用------

    linux patch 首先介绍一下diff和patch.在这里不会把man在线文档上所有的选项都介绍一下,那样也没有必要.在99%的时间里,我们只会用到几个选项.所以必须学会这几个选项. 1.dif ...

  6. Linux 根目录结构,英文全称、文件夹作用

    Linux根目录下,文件夹.英文全称.文件夹作用 文件夹 英文全称 文件夹作用 /boot Boot 存放系统开机启动加载程序的Linux核心文件. /bin Binaries 存放系统命令的目录,所 ...

  7. 详解C语言中头文件的作用

    大家好,先做个自我介绍,我是天蓬,欢迎阅读本篇博文. 由于本人理解能力不是很好,阅读他人文章时,常常看得晕头晕脑,这让我很是头疼,我想,世界上一定还有和我一样的人(哈哈,不是说你么笨哦).所以,我将会 ...

  8. android odex 作用,Android ROM中Odex文件的作用及介绍

    细心的网友可能发现Android的ROM中有很多odex文件,相对于 APK中的dex文件而言这个odex有什么作用呢? Android123提示大家,如果你仔细观察会发现文件名时一一对应的,同时那些 ...

  9. linux下/var/run目录下.pid文件的作用(文件锁,防止重复启动)

    1.pid文件的内容 用cat命令查看,可以看到内容只有一行,记录了该进程的ID 2.pid文件的作用 防止启动多个进程副本 3.pid文件的原理 进程运行后会给.pid文件加一个文件锁,只有获得该锁 ...

最新文章

  1. 关于矩形连线 (rectangle connect)
  2. Linux imooc learning
  3. 018_html文件路径
  4. NFS网络文件共享系统-综合架构NO.2
  5. 域名相关的一些基础知识
  6. 【CodeForces - 527C】Glass Carving(线段树或者SBT或者set)
  7. plantUML 学习
  8. C++内存泄漏和内存碎片的产生及避免策略
  9. 01 WIFI ----- SDIO接口驱动
  10. enum ordinal java_Spring 3.x自动将枚举的ordinal值转换为枚举类型
  11. The JAVA_HOME environment variable is not defined correctly 解决方法
  12. win10 你没有足够的权限执行此操作
  13. Grails in Action:完成啦
  14. LightningChart JS Crack,2D 和 3D JavaScript 图表
  15. ps photoshop 2023 新功能 简介
  16. 高中毕业,从事测试岗,在35岁之前却因为运维而加薪了。
  17. 保护信息安全,实名认证该怎么选?
  18. 在非登录页面提示用户还未登录
  19. BLDC(直流无刷电机)反电动势测量/观测模型
  20. OpenStack Dashboard

热门文章

  1. 请问染色浴比对染色性能有影响吗?浴比对染色的哪些性能有影响?染色亲和力测定有哪些实际应用意义
  2. pandas 根据列名索引多列数据_Pandas 数据聚合与分组运算[groupby+apply]速查笔记
  3. C++11 右值引用与常量左值引用保存临时变量(函数返回值)的底层分析
  4. android点击下拉历史记录,uni-app,社交应用中,聊天页面下拉onPullDownRefresh获取历史消息,数据合并之后,滚动到下拉之前的位置,页面看不见闪动,完美解决...
  5. hana数据库导入mysql_【SAP HANA】新建表以及操作数据(3)
  6. 《C++ Primer 第五版》(第5.1-5.6节) ——异常处理机制(try语句块,throw表达式和catch异常捕捉处理单元)
  7. node.js 获取异步方法里面的数据 =》 两种方式
  8. 数据结构--双链表的创建和操作
  9. 【VS 2017 C语言 汇编语言】如何使用VS 2017,通过反汇编查看C语言代码对应的32位x86汇编语言 VS 2017单步调试的使用
  10. Java字节码指令简介