1 检查是否配置SSH 登录

启用ssh，关闭telnet服务

2 检查是否配置登录失败账户锁定

vi /etc/security/policy.conf，配置或修改 LOCK_AFTER_RETRIES=YES

vi /etc/default/login，配置或修改 RETRIES=6，小于等于6

3 检查是否配置口令复杂度

vi /etc/default/passwd, 配置或修改 PASSLENGTH=8，大于等于8

vi /etc/default/passwd, 配置或修改 MINALPHA=4

vi /etc/default/passwd, 配置或修改 MINSPECIAL=1

vi /etc/default/passwd, 配置或修改 MINDIGIT=1

4 检查是否配置日志文件权限控制

chmod 644 /var/log/messages

chmod 644 /var/adm/utmpx

chmod 644 /var/adm/wmtpx

chmod 644 /var/adm/sulog

设置权限要小于等于644

5 检查是否配置口令最长生存期

vi /etc/default/passwd文件,配置或修改 PWMAX=90 #密码的最大生存周期，小于等于90

6 检查是否配置安全日志完备性要求

1.vi /etc/syslog.conf文件, 把*.err;kern.debug;daemon.notice; /var/adm/messages 前面的 #注释去掉

2.vi /etc/syslog.conf文件,把 auth.notice /var/adm/authlog 前面的 #注释去掉

3.vi /etc/default/login， 把SYSLOG=YES 前面的 #注释去掉

4.vi /etc/default/login， 把SYSLOG_FAILED_LOGINS=5 前面的 #注释去掉 5改成0

7 检查是否配置用户缺省权限控制

可配置：027|037|077|127|137|177|327|337|377|777|067|167|367|767

vi /etc/default/login,修改或配置umask 027

vi /etc/profile,修改或配置umask 027

8 检查是否重复使用最近5次（含5次）内已使用的口令设置

vi /etc/default/passwd文件,将HISTORY配置为5

9 检查是否删除或锁定无关账号

检查listen,gdm,webservd,nobody,nobody4、noaccess账号的状态

1.chsh listen -s /sbin/nologin

2.chsh gdm -s /sbin/nologin

3.chsh webservd -s /sbin/nologin

4.chsh nobody -s /sbin/nologin

5.chsh nobody4 -s /sbin/nologin

6.chsh noaccess -s /sbin/nologin

10 检查是否配置系统关键目录权限控制

1.chmod 644 /etc/passwd

2.chmod 644 /etc/group

3.chmod 400 /etc/shadow

11 检查是否配置FTP 登录权限

1.vi /etc/ftpd/ftpusers文件，将 root 添加进文件

2.vi /etc/ftpd/ftpusers文件，将 listen 添加进文件

3.vi /etc/ftpd/ftpusers文件，将 adm 添加进文件

4.vi /etc/ftpd/ftpusers文件，将 nobody 添加进文件

5.vi /etc/ftpd/ftpusers文件，将 nobody4 添加进文件

12 检查是否禁止匿名 FTP

vi /etc/pure-ftpd/pure-ftpd.conf文件,配置或修改NoAnonymous=yes

vi /etc/proftpd.conf文件,配置或修改 AnonRequirePassword=on

13 检测是否限制 root 用户远程登录

vi /etc/ssh/sshd_config文件,配置或修改PermitRootLogin=on

14 检查是否配置防止堆栈溢出

vi /etc/system文件,配置或修改

set noexec_user_stack=1

set noexec_user_stack_log=1