Linux操作系统安全加固实施方案

Linux操作系统安全加固实施方案

信息中心

2022年11月09日

Linux操作系统安全加固实施方案

版本控制

版本版本控制信息更新日期更新人审批人

VI.0创建2022年11月

Linux操作系统安全加固实施方案

目录

一、实施时间.....................................................................4

二、实施方法.....................................................................4

三、实施人员.....................................................................4

四、实施范围.....................................................................4

五、安全力口固方案.................................................................5

5.1账号锁定策略............................................................5

5.2登录超时时间设置........................................................6

5.3口令生存期..............................................................6

5.4口令复杂度..............................................................7

5.5口令重复次数限制........................................................8

5.6禁止空密码账号..........................................................9

2.7删除无关账号...........................................................10

2.8禁止UID为0的用户存在多个............................................12

2.9root用户环境变量安全...................................................13

2.10使用PAM认证模块禁止wheel组之外的用户su为root..........................................14

三、文件与权限..................................................................15

3.1文件与目录缺省权限控制.................................................15

3.2重要文件权限设置.......................................................16

3.3不存在未授权SUID、SGID文件...........................................17

3.4删除潜在危险文件.......................................................18

3.5删除所有用户都有写权限目录的写权限....................................19

3.6删除所有用户都有写权限文件的写权限....................................21

3.7删除没有属主的文件.....................................................22

3.8系统coredump状态.....................................................23

四、日志与审计..................................................................24

4.1开启远程日志功能.......................................................24

4.2记录安全事件日志.......................................................25

4.3记录用户登录日志.......................................................26

4.4记录su命令使用日志....................................................27

4.5记录cron行为日志......................................................28

五、系统服务....................................................................29

5.1限制root用户SSH远程登录..............................................29

5.2使用PAM认证模块禁止wheel组之外的用户su为root............................................30

5.3禁止IP路由转发........................................................31

5.4配置NFS服务限制......................................................32

5.5禁止Ctrl+Alt+Delete组合键关机...........................................34

5.6限制远程访问的IP地址..................................................34

5.7配置NTP...............................................................................................................................35

5.8禁止ICMP重定向.......................................................37

5.9禁止IP源路由...........................................................37

5.10设置屏幕锁定..........................................................38

5.11关闭不必要启动项......................................................40

II

Linux操作系统安全加固实施方案

5.12关闭不必要的服务和端口...............................................40

5.13更改主机解析地址的顺序...............................................41

5.14历史命令设置..........................................................42

5.15对root为归、rm设置别名..............................................43

5.16修改SNMP的默认Community.......................................................................................44

5.17打开syncookie缓解synflood攻击........................................45

III

Linux操作系统安全加固实施方案

一、实施时间

实施时间：2022年11月日至

二、实施方法

采用工具扫描和人工评估两种相结合的方式，依据《Linux主机

系统安全基线标准与加固指南》对单位Linux操作系统进行评估与安

全加固。

三、实施人员

四、实施范围

序号IP地址（范围）备注

1172.16.39.1-172.16.39.60

2172.16.49.1-172.16.49.60

3172.16.59.1-172.16.59.64

4

Linux操作系统安全加固实施方案

五、安全加固方案

5.1账号锁定策略

安全加固Linux操作系统账号锁定策略

项目名称

安全加固Linux-01-Ol

编号

安全加固对于采用静态口令认证技术的设备，当账号连续认证失败次数超过

项说明5次，自动锁定该账号

安全加固参考配置操作

实施步骤1、执行备份

#cp-p/etc/pam.d/system-auth/etc/pam.d/system-

auth_bak

2、修改策略,编辑文件/etc/pam.d/system-auth增加如下内容:

authrequiredpam_tally2.sodeny=5onerr=fail

no_magic_rootunlock_time=300#unlock_time单位为秒

accountrequiredpam_tally2.so

回退方案备份文件/etc/pam.d/system-auth_bak覆盖至

/etc/pam.d/system-auth文件

是否实施□是

口否

实施结果口成功

口失败，已回滚

备注(1)解锁用户faillog-u＜用户名》

(2)RedHat5.1以上版本支持pam_tally2.so,其他版本及suse只

支持pam_tally.so

5

Linux操作系统安全加固实施方案

5.2登录超时时间设置

安全加固Linux操作系统用户登录超时时间设置

项目名称

安全加固Linux-01-02

编号

安全加固Linux操作系统用户登录空闲时间超过300秒自动登出

项说明

安全加固1、执行备份

实施步骤#cp-p/etc/profile/etc/profi1e_bak

2、在/etc/profile文件增加以下两行（如果存在则修改，否则手工

添加）:

#vi/etc/profile

TMOUT=300

exportTMOUT

回退方案将备份文件/etc/profile_bak覆盖至/etc/profile文件

是否实施□是

□否

实施结果口成功

□失败，已回滚

备注TM0UT以秒为单位

5.3口令生存期

安全加固Linux操作系统用户口令生存期策略

项目名称

安全加固Linux-01-03

6

Linux操作系统安全加固实施方案

编号

安全加固对于采用静态口令认证技术的设备，账户口令生存周期最大值应小

项说明于等于90天

安全加固1、执行备份：

实施步骤#cp-p/etc/login.defs/etc/login.defs_bak

2、修改策略设置，编辑文件/etc/login.defs(vi

/etc/login.defs),在文件中加入如下内容(如果存在则修改，不存

在则添加)：

PASS_MAX_DAYS90

PASS_MIN_DAYS10

PASS_WARN_AGE7

回退方案将备份文件/etc/login.defs_bak覆盖至/etc/login.defs文件

是否实施口是

□否

实施结果□成功

口失败，已回滚

备注

5.4口令复杂度

安全加固Linux操作系统用户口令复杂度策略

项目名称

安全加固Linux-01-04

编号

安全加固对于采用静态口令认证技术的设备，账户口令长度至少8位，并包

项说明

括数字、小写字母、大写字母和特殊符号。

加固实施1、执行备份：

步骤

#cp-p/etc/pam.d/system-auth/etc/pam.d/system-auth_bak

2、编辑文件/etc/pam.d/system-auth,在文件中找到如下内容：

passwordrequisitepam_cracklib.so,将其修改为：

7

Linux操作系统安全加固实施方案

passwordrequisitepam_cracklib.sotry_first_pass

retry=3dcredit=-llcredit=-1ucredit=-locredit=-l

minlen=8#至少包含一个数字、一个小写字母、一个大写

字母、一个特殊字符、且密码长度〉二8

回退方案将备份文件/etc/pam.d/system-auth_bak覆盖至

/etc/pam.d/system-auth文件

是否实施□是

□否

实施结果口成功

口失败，已回滚

备注

5.5口令重复次数限制

安全加固Linux操作系统用户口令重复次数限制策略

项目名称

安全加固Linux-01-05

编号

安全加固对于采用静态口令认证技术的设备，账户口令不能重复使用最近5

项说明次（含5次）内已使用的口令

加固方案1、执行备份

#cp-p/etc/pam.d/system-auth/etc/pam.d/system-

auth.bak

2、创建文件/etc/security/opasswd用于存储旧密码,并设置权限。

#touch/etc/security/opasswd

#chownroot：root/etc/security/opasswd

ftchmod600/etc/security/opasswd

3、修改策略设置

#vi/etc/pam.d/system-auth在passwordsufficient

pam_unix.so所在行末尾增加remember=5,中间以空格隔开，如果

8

Linux操作系统安全加固实施方案

没有则新增，例如：

passwordsufficientpam_unix.somd5shadow

nulloktry_first_passuse_authtokremember=5

回退方案将备份文件/etc/pam.d/system-auth.bak覆盖至

/etc/pam.d/system-aut文件

是否实施□是

□否

实施结果口成功

口失败，已回滚

备注

5.6禁止空密码账号

安全加固Linux操作系统禁止空密码账号

项目名称

安全加固Linux-01-06

编号

安全加固对于采用静态口令认证技术的设备，账户口令不能为空。

项说明

安全加固1、执行以下命令检查是否存在空口令账户，若返回结果为0则表

实施步骤示不存在空口令账号。

#awk-F：'($2==""){print$1}'/etc/shadow

2、上述执行结果不为0,继续以下步骤

#cp-p/etc/passwd/etc/passwd_bak

#cp-p/etc/shadow/etc/shadow_bak

3、为帐户设置满足密码复杂度的密码：

#passwdusername

回退方案无

9

Linux操作系统安全加固实施方案

是否实施口是

□否

实施结果口成功

□失败，已回滚

备注

2.7删除无关账号

安全基线Linux操作系统禁止空密码账号

项目名称

安全基线Linux-01-07

编号

安全基线对于采用静态口令认证技术的设备，账户口令不能为空。

项说明

检测操作1、查看/etc/shadow文件，确认以下用户

步骤(Ip|synchalt|newsuucpoperatorgamesgopher|smmspnfsno

bodynobody)的密码列字段是否以*或者！！开头：

ttegrep

HIp：|sync：,"halt：「news：uucp：|operator：games：gop

her：smmsp：nfsnobody：nobody：,r/etc/shadowawk-F：

r($2!7>/)&&($2!~/l!/){print$1"："}'

2、查看/etc/passwd文件确认以下用户

(Ip|synchalt|newsuucp|operatorgamesgopher|smmsp|nfsno

bodynobody)的shell域字段值是否为/bin/false

#egrep

MIp：「sync：halt：「news：uucp：|operator：games：gop

her：smmsp：nfsnobody：nobody：,r/etc/passwd|awk-F：

10

Linux操作系统安全加固实施方案

1($7!^/bin\/false/){print$1"："$7}'

基线符合判定依据

性判定依1、Ipsynchaltnewsuucpoperatorgamesgophersmmsp

据nfsnobody|nobody用户不存在或/etc/shadow文件中对应密码字段

以*或者！！开头

2、Ipsynchaltnewsuucpoperatorgamesgophersmmsp

nfsnobodynobody用户不存在或者/etc/passwd文件中对应shell

域为/bin/false

以上二者均满足则合规，否则不合规。

加固方案参考配置操作

1、如果以下用户(Ipsynchaltnewsuucpoperatorgames

gophersmmspnfsnobodynobody)没有被删除或锁定，可以使用如

下命令对其进行操作：

(1)、删除用户：

#userdelusername

(2)、锁定用户：

ftpasswd-1username#锁定用户，只有具备超级

用户权限的使用者方可使用。

ttpasswd-dusername#解锁用户，解锁后原有密

码失效，登录设置新密码才能登录。

ttpasswd-uusername#解锁用户后，原密码仍然

有效。

(3)、修改用户shell域为/bin/false

#usermod-s/bin/falseusername#命令来更

改相应用户的shell为/bin/false,其中［username］为要修改的具

体用户名。

备注

11

Linux操作系统安全加固实施方案

2.8禁止UID为0的用户存在多个

安全基线Linux操作系统禁止存在多个UID为0的用户

项目名称

安全基线Linux-01-08

编号

安全基线Linux操作系统禁止存在多个UID为0的用户

项说明

检测操作通过如下命令查看/etc/passwd文件中UID为0的账号：

步骤#awk-F：'($3==0){print$1}'/etc/passwd

基线符合判定依据

性判定依不存在root用户外的其他用户UID为0则合规，否则不合规。

据

加固方案参考配置操作

1、执行配置文件备份：

#pc-p/etc/passwd/etc/passwd_bak

#pc-p/etc/shadow/etc/shadow_bak

#pc-p/etc/group/etc/group_bak

2、查询UID为0的账号信息

#wak-F：'（$3=二0）{print$1}1/etc/passwd

如果命令的输出存在非root账号，则使用如下命令删除该账

户（切记不要删除root用户）。

#userdelusername

备注root用户的UID值为0,切记不要删除root用户。

12

Linux操作系统安全加固实施方案

2.9root用户环境变量安全

安全基线Linux操作系统root用户环境变量的安全性

项目名称

安全基线Linux-01-09

编号

安全基线Linux操作系统root用户环境变量的安全性

项说明

检测操作使用命令echo$PATH查看PATH环境变量的值，确认PATH环境变

步骤量中是否存在.或者..的路径：

.：/usr/bin：..：/usr/sbin

echo$PATH

echo"result=echo$PATHegrep

"A.\：।A.\.\：A：\.$：\：\.\.$A：\.\：l\：\.\.\："|wc"1'"

/usr/local/inotify/bin：/usr/local/sbin：/usr/local/bin：/sb

in：/bin：/usr/sbin：/usr/bin：/usr/local/server/tengine/bin：

/usr/local/server/tengine/sbin：/usr/local/server/php/bin：

/root/bin

基线符合判定依据

性判定依$PATH环境变量中不存在.或者..的路径则合规，否则不合

鼐规。

result实际值：为0则表示path环境变量中不存在.或..的路

径；为非0则表示存在.或..的值。

加固方案参考配置操作

修改文件/etc/profile或/root/.bash_profile

修改环境变量$PATH,删除环境变量值包含的（.和..）的路径。

13

Linux操作系统安全加固实施方案

备注

2.10使用PAM认证模块禁止wheel组之外的用户su为root

安全基线使用PAM认证模块禁止wheel组之外的用户su为root

项目名称

安全基线Linux-01-10

编号

安全基线Linux操作系统应使用PAM认证模块进行su权限控制，禁止wheel

项说明组之外的用户su为root

检测操作执行命令cat/etc/pam.d/su,查看文件中是否存在如下配置：

步骤authsufficientpam_rootok.so

authrequiredpam_wheel.sogroup=wheel

基线符合判定依据

性判定依使用pamrootok.so认证模块认证且配置了只允许wheel组

据的用户才能su为root则合规，否则不合规。

加固方案参考配置操作

编辑文件(vi/etc/pam.d/su),在文件开头加入如下两行(有则修

改,没有则添加)：

authsufficientpam_rootok.so

authrequiredpam_wheel.souse_

uid

#注意auth与sufficient之间由两个tab建隔开，sufficient与

动态库路径之间使用一个tab建隔开

备注安全加固后，只有wheel组中的用户可以使用su命令成为root用

14

Linux操作系统安全加固实施方案

户。可以通过把用户添加到wheel组，以使它可以使用su命令成

为root用户。）

添加方法：

ttusermod-Gwheelusernamettusername为需要

添加至wheel组的账户名称。

三、文件与权限

3.1文件与目录缺省权限控制

安全基线Linux操作系统文件与目录缺省权限控制策略

项目名称

安全基线Linux-02-Ol

编号

安全基线Linux操作系统用户文件与目录缺省权限不应设置过高，建议设置

项说明用户的默认umask=027

检测操作查看文件/etc/profile的末尾是否设置umask值：

步骤#awk'{print$1"："$2}'/etc/profile|grepumask|tail-

nl

基线符合/etc/profile文件末尾存在umask027,则合规,否则为不合规。

性判定依

据

加固方案参考配置操作

1、对/etc/profile进行备份：

#cp/etc/profile/etc/profile.bak

2、编辑文件/etc/profile,在文件末尾加上如下内容：

umask027

15

Linux操作系统安全加固实施方案

3、执行以下命令让配置生效：

ftsource/etc/profile

备注

3.2重要文件权限设置

安全基线Linux操作系统重要文件权限设置策略

项目名称

安全基线Linux-02-02

编号

安全基线Linux操作系统/etc/passwd/etc/shadow等重要文件权限不应设

项说明置过高

检测操作执行以下命令查看用户及组文件权限

步骤#sl-IL/etc/passwd

#sl-IL/etc/group

#sl-IL/etc/services

#sl-IL/etc/shadow

#sl-IL/etc/xinetd.conf

Sis-ILd/etc/security

#sl-ILd/etc/rsyslog.conf

Slsattr/var/log/messages

基线符合1、/etc/passwd文件的权限小于等于644

性判定依2、/etc/shadow文件的权限小于等于400

据3、/etc/group文件的权限小于等于644

4、/etc/services文件权限小于等于644

5、/etc/xinetd.conf文件权限小于等于600

6、/etc/security目录权限小于等于600

16

Linux操作系统安全加固实施方案

7、/etc/rsyslog.conf文件权限小于等于640

8、/var/log/messages文件的权限第六位为a属性

以上八者同时满足则合规，否则不合规。

加固方案参考配置操作

1、使用如下命令查看文件的权限：

#sl-alL/etc/passwd/etc/shadow/etc/group

2、执行备份:使用cp命令备份需要修改权限的文件或目录。

3、权限修改：

ttchmod644/etc/passwd

ttchmod400/etc/shadow

#chmod644/etc/group

ftchmod644/etc/services

ttchmod600/etc/xinetd.conf

#chmod600/etc/security

Schmod640/etc/rsyslog.conf

#chattr+a/var/log/messages

备注

3.3不存在未授权SUID、SGID文件

安全基线Linux操作系统不存在未授权的SUID、SGID文件

项目名称

安全基线Linux-02-03

编号

安全基线Linux操作系统不存未授权的SUID、SGID文件

项说明

检测操作用下面的命令查找系统中所有的SUID和SGID程序，执行：

步骤#forPARTin'grep-v#/etc/fstabawk'($6!=

17

Linux操作系统安全加固实施方案

"0"){print$2

do

find$PART-typef\(-perm-04000-o-perm-02000

\)-xdev-execIsTg{}\；2»/dev/null

done

基线符合结合实情情况，人工判断该文件是否合法

性判定依

据

加固方案参考配置操作

1、找出系统中所有含有“S”属性的文件，把不必要的“S”属性去

掉，或者把不用的直接删除。

#forPARTin'grep-v/etc/fstab|awk'($6!=

"0"){print$2}''

do

find$PART-typef\(-perm-04000-o-perm-02000\)

-xdev-execIs-1g{}\；2»/dev/null

done

2、使用如下命令去掉文件的s属性：

ttchmoda_s<filename>

备注

3.4删除潜在危险文件

安全基线删除Linux操作系统潜在危险文件

项目名称

安全基线Linux-02-04

18

Linux操作系统安全加固实施方案

编号

安全基线删除Linux操作系统.rhosts,.netrc,hosts,equiv等潜在危险文

项说明件

检测操作1、通过如下命令查看系统中是否存在这三个文件

步骤(,rhosts,.netrc,hosts,equiv)：

#find/-maxdepth3-name.netrc2>/dev/nullwc-1

#find/-maxdepth3-name.rhosts2>/dev/null|wc-1

#find/-maxdepth3-namehosts,equiv2>/dev/null|wc

-1

基线符合系统中不存在文件.rhosts,.netrc,hosts,equiv则合规,否则

性判定依不合规。

据

加固方案参考配置操作

1、需要删除的文件(.netrc、.rhosts、hosts,equiv)

(1)、备份

ttmv.rhost.rhost.bak

#vm.netr.netr.bak

#vmhost.equivhost.equiv.bak

(2)、删除

#mr.netrc

#mr.rhosts

#mrhosts,equiv

备注删除前需确认正常业务应用是否会用到上述文件

3.5删除所有用户都有写权限目录的写权限

安全基线删除Linux操作系统所有用户都有写权限目录的写权限

项目名称

19

Linux操作系统安全加固实施方案

安全基线Linux-02-05

编号

安全基线删除Linux操作系统所有用户都有写权限目录的写权限

项说明

检测操作使用如下命令查看系统中任何人都有写权限的目录：

步骤#forPARTin'grep-v#/etc/fstabawk'($6!=

"0"){print$2

do

find$PART-xdev-typed\(-perm-0002-a!-perm

-1000\)-xdev-execIs-Id{}\；2>>/dev/null；

done

基线符合如果存在任何人都有写权限的目录则不合规，否则合规。

性判定依

据

加固方案参考配置操作

1、查看系统中任何用户都有写权限的目录(使用以下命令)：

#forPARTin'grep-v#/etc/fstabawk*($6!="0")

{print$2}''

do

find$PART-xdev-typed\(-perm-0002-a!-perm

-1000\)-xdev-execIs-Id{}\；2>>/dev/null；

done

2、去掉步骤1输出文件的其他用户写权限。

#chmodo-w<directory>

备注

20

Linux操作系统安全加固实施方案

3.6删除所有用户都有写权限文件的写权限

安全基线删除Linux操作系统所有用户都有写权限文件的写权限

项目名称

安全基线Linux-02-06

编号

安全基线删除Linux操作系统所有用户都有写权限文件的写权限

项说明

检测操作使用如下命令查看系统中任何人都有写权限的文件：

步骤#forPARTin'grep-v#/etc/fstab|awk'($6!=

〃0"){print$2

do

find$PART-xdev-typef\(-perm-0002-a!

-perm-1000\)-xdev-execIs-Id{}\；2>>/dev/null；

done

基线符合系统中不存在任何人都有写权限的文件则合规，否则不合规。

性判定依

据

加固方案参考配置操作

系统中任何用户都有写权限的文件(使用以下命令)：

#forPARTingrep-v#/etc/fstabawk'($6!="0")

{print$2}

do

find$PART-xdev-typef\(-perm-0002-a!-perm

-1000\)-xdev-execIs-Id{}\；2>>/dev/null；

done

2、去掉步骤1输出文件的其他用户写权限。

ftchmodo-w<filename>

21

Linux操作系统安全加固实施方案

备注

3.7删除没有属主的文件

安全基线删除Linux操作系统所有没有属主的文件

项目名称

安全基线Linux-02-07

编号

安全基线删除Linux操作系统所有没有属主的文件

项说明

检测操作查看系统中没有属主的（没有所属用户或所属主）文件（使用如下命

步骤令）：

#forPARTin'grep-v#/etc/fstabawk'（$6!=

"0"）{print$2

do

find$PART-nouser-o-nogroup-print

2>>/dev/null

done

基线符合如果存在没有属主的文件则不合规，否则合规。

性判定依

据

加固方案参考配置操作

1、查看系统中没有属主的文件（使用以下命令）：

#forPARTin'grep-v飞/etc/fstabawk'（$6!="0"）

{print$2}―

do

find$PART-nouser-o-nogroup-print2»/dev/null

22

Linux操作系统安全加固实施方案

done

2、给步骤1输出的文件赋予一个属主或者删除该文件。

#chown<username>：<groupname><filename>

备注ttuname为用户名称，groupname为组名称,filename为要赋予其属

主的文件名称

3.8系统coredump状态

安全基线检查Linux操作系统系统coredump状态

项目名称

安全基线Linux-02-08

编号

安全基线检查Linux操作系统系统coredump状态

项说明

检测操作1、查看/etc/security/limits.conf文件中是否配置如下内容：

步骤*softcore0

*hardcore0

2、查看/etc/profile文件中是否存在如下配置，存在则注释掉：

ulimit-S-c0>/dev/null2>&1

基线符合1、/etc/security/limits.conf文件设置

性判定依*softcore0

据*hardcore0

2、/etc/profile注释掉ulimit-S-c0>/dev/null2>&1

上述2条同时满足则合规，否则不合规。

加固方案参考配置操作

1、编辑文件/etc/security/limits.conf,在文件末尾加入如下两

行（存在则修改，不存在则新增）：

23

Linux操作系统安全加固实施方案

*softcore0

*hardcore0

2、编辑文件/etc/profile(vi/etc/profile)注释掉如下行：

ttulimit-S-c0>/dev/null2>&1

备注

四、日志与审计

4.1开启远程日志功能

安全基线Linux操作系统开启远程日志功能

项目名称

安全基线Linux-03-Ol

编号

安全基线Linux操作系统应开启远程日志功能

项说明

检测操作查看文件/etc/syslog.conf或者/etc/rsyslog.conf存在类似如

步骤下语句：

*.*@192.26.39.253

基线符合Linux操作系统设置远程日志服务器实际值：为远程日志服务器地

性判定依址或者域名合规，否则不合规。

据

加固方案参考配置操作

1、编辑文件/etc/syslog.conf或者/etc/rsyslog.conf,增加如

下内容：

*.*@〈日志服务器ip或者域名》

2、重启syslog服务

24

Linux操作系统安全加固实施方案

#/etc/init.d/syslogstop

#/etc/init.d/syslogstart

备注/etc/rsyslog.conf文件中@192,26.39.253需改成SYSLOGSERVER

实际IP地址

4.2记录安全事件日志

安全基线Linux操作系统开启安全事件日志记录

项目名称

安全基线Linux-03-02

编号

安全基线Linux操作系统应开启安全事件日志记录

项说明

检测操作查看/etc/rsyslog.conf文件是否有如下内容：

步骤*.err；kern,debug；daemon,notice/var/adm/messages

基线符合/etc/rsyslog.conf文件包含如下内容:

性判定依*.err；kern,debug；daemon,notice/var/adm/messages

据如是表明配置了记录安全事件日志则合规，否则不合规。

加固方案参考配置操作

1、编辑/etc/rsyslog.conf,在文件中加入如下内容:

*.err；kern,debug；daemon,notice/var/adm/messages,其中

/var/adm/messages为日志文件。

(1)如果该文件不存在，则创建该文件，命令为：

#touch/var/adm/messages

(2)修改权限为666,命令为：

ttchmod666/var/adm/messages

2、重启日志服务：

#/etc/init.d/syslogrestart

25

Linux操作系统安全加固实施方案

备注

4.3记录用户登录日志

安全基线Linux操作系统开启用户登录日志记录

项目名称

安全基线Linux-03-03

编号

安全基线Linux操作系统应开启用户登录日志记录

项说明

检测操作查看文件/etc/rsyslog.conf存在类似如下语句：

步骤authpriv.*/var/1og/auth1og

或者

authpriv.info/var/log/authlog

基线符合查看文件/etc/rsyslog.conf存在类似如下语句：

性判定依authpriv.*/var/1og/authlog

据或者

authpriv.info/var/log/authlog

如是表明配置了记录用户登录日志则合规，否则不合规。

加固方案参考配置操作

1、查看文件/etc/rsyslog.conf,增加如下内容：

authpriv.*/var/1og/authlog

或者

authpriv.info/var/1og/authlog

2、创建日志文件，并赋予其权限

#touch/var/log/authlog

#chmod640/var/log/authlog

26

Linux操作系统安全加固实施方