修改系统banner，避免泄漏操作系统信息

相关文件

banner信息文件:
/etc/issue：记录系统名称和版本号，当用户通过本地等方式登录就会显示此文件内容
/etc/issue.net：记录系统名称和版本号，当用户通过远程连接方式如telnet登录就会显示此文件内容
/etc/redhat-release：记录系统名称和版本号
/etc/motd：系统的公告信息，每次用户登录后，就会显示此文件内容在用户终端上。

操作

echo " Authorized users only. All activity may be monitored and reported " > /etc/motd
echo " Authorized users only. All activity may be monitored and reported " > /etc/issue
echo " Authorized users only. All activity may be monitored and reported " > /etc/issue.net
/etc/init.d/xinetd restart
vi /etc/ssh/sshd_config		#添加	Banner /etc/issue
vi /etc/issue		#添加 "Warning!!! If you are not the operations staff, loggout the system right now"
/etc/init.d/sshd restart

配置定时帐户自动登出

#1.首先备份文件:
cp -p /etc/profile /etc/profile_bak
#2.在/etc/profile文件增加以下两行(如果存在则修改,否则手工添加):
vi /etc/profile
# TMOUT=180        #添加
# export TMOUT     #添加

修改FTP Banner信息

#修改vsftp回显信息
vi /etc/vsftpd.conf #或者 vi /etc/vsftpd/vsftpd.conf
ftpd_banner=” Welcome to FTP.” #修改

检查是否禁止icmp重定向

#1.备份文件:
cp -p /etc/sysctl.conf /etc/sysctl.conf_bak
#2.编辑文件 
vi /etc/sysctl.conf
# 将net.ipv4.conf.all.accept_redirects的值改为0
#3.使配置生效#
sysctl  -p

检查是否配置ntp

vi /etc/ntp.conf
# server *.*.*.*   #添加需要同步的服务器地址
/etc/init.d/ntpd start

更改系统默认umask

umask值(默认为022)

1、执行备份：
cp -p /etc/profile /etc/profile_bak
cp -p /etc/csh.login /etc/csh.login_bak
cp -p /etc/csh.cshrc /etc/csh.cshrc_bak
cp -p /etc/bashrc /etc/bashrc_bak
cp -p /root/.bashrc /root/.bashrc_bak
cp –p /root/.cshrc /root/.cshrc_bak
2、修改umask设置：
vi /etc/profile
vi /etc/csh.login
vi /etc/csh.cshrc
vi /etc/bashrc
vi /root/.bashrc
vi /root/.cshrc
将umask值修改为027(不存在,则需要增加一行umask 027)，保存退出。

系统更改默认的history条数

在/etc/profile中找到HISTSIZE

vi /et/profile 
#修改HISTSIZE值
HISTSIZE=100

关闭不必要的服务或端口

1.禁止非必要服务
#chkconfig [service name] off
若chkconfig命令无法执行，尝试使用/sbin/chkconfig [service name] off
2.编辑文件 /etc/services
在文件中找到对应服务的端口,注释掉该行。

禁止匿名FTP

1.vsftp
编辑 /etc/vsftpd.conf(或 /etc/vsftpd/vsftpd.conf)
设置:
anonymous_enable=NO    
如果不存在anonymous_enable，则手动增加
2.重启ftp服务

是否设置ssh警告Banner

#步骤 1	执行如下命令创建ssh banner信息文件：
touch /etc/sshbanner
chown bin:bin /etc/sshbanner
chmod 644 /etc/sshbanner
echo " Authorized users only. All activity may be monitored and reported "  >/etc/sshbanner
#可根据实际需要修改该文件的内容。
#步骤 2	修改/etc/ssh/sshd_config文件，添加如下行：
Banner /etc/sshbanner
#步骤 3	重启sshd服务：
service sshd restart
#

检查是否限制root远程登录

#禁止root用户远程登录系统：
vi /etc/securetty
#注释形如pts/x的行，保存退出，则禁止了root从telnet登录。
vi /etc/ssh/sshd_config
#修改PermitRootLogin设置为no并不被注释，保存退出，则禁止了root从ssh登录。
/etc/init.d/sshd restart

检查是否禁止ctrl+alt+del

 vi /etc/init/control-alt-delete.conf
 #注释里边的所有内容

检查口令生存周期要求

#1、执行备份：
cp -p /etc/login.defs /etc/login.defs_bak
#2、修改策略设置：
vi /etc/login.defs
#修改PASS_MAX_DAYS的值为90

检查登录提示-更改ftp警告Banner

#修改vsftp回显信息
vi /etc/vsftpd.conf
#修改ftpd_banner=” Authorized users only. All activity may be monitored and reported.”
#可根据实际需要修改该文件内容。
#重启服务：
service vsftpd restart

检查是否禁止icmp重定向

cp -p /etc/sysctl.conf /etc/sysctl.conf_bak
vi /etc/sysctl.conf
#将net.ipv4.conf.all.accept_redirects的值改为0

应删除或锁定与设备运行、维护等工作无关的账号

锁定用户:
#1)修改配置文件锁定用户
vi /etc/shadow #用户名后密码字段列开头加*,例如:
nobody:*:16752::::::
#2)使用命令锁定用户(只有具备超级用户权限的使用者方可使用)
passwd -l username        #锁定用户
passwd –d username      #解锁用户,解锁后原密码失效,登录设置新密码
passwd -u username       #解锁用户,原密码仍然有效.
修改用户shell域为/bin/false:
usermod -s /bin/false username  #username为要修改的具体用户名
删除用户:
userdel username

<持续更新中…>