- /etc/hosts.deny
sshd:ALL
vsftpd:ALL
gdm:ALL
telnet:ALL
- 로그 1년
- vi /etc/logrotate.conf
monthly
su root syslog
rotate 14
create
#compress
include /etc/logrotate.d
/var/log/wtmp {
missingok
monthly
create 0600 root utmp
rotate 14
}
/var/log/btmp {
missingok
monthly
create 0600 root utmp
rotate 14
}
2. vi /etc/logrotate.d/rsyslog
/var/log/syslog
{
rotate 14
monthly
missingok
notifempty
delaycompress
compress
postrotate
/usr/lib/rsyslog/rsyslog-rotate
endscript
}
/var/log/mail.info
/var/log/mail.warn
…
/var/log/messages
{
rotate 14
monthly
missingok
notifempty
compress
delaycompress
sharedscripts
postrotate
/usr/lib/rsyslog/rsyslog-rotate
endscript
}
- 계정 패스워드 설정
# vi /etc/pam.d/common-password (한줄 수정)
password [success=1 default=ignore] pam_unix.so lcredit=-1 dcredit=-1 ocredit=-1 obscure sha512 minlen=8 remember=2
# vi /etc/login.defs (패스워드 사용 기간)
PASS_MAX_DAYS 90
PASS_MIN_DAYS 7
기존 계정의 경우 : # chage -M 90 [계정명] # chage -m 7 [계정명]
# vi /etc/pam.d/common-auth (계정 잠금 임계값)
(한줄 추가) auth required pam_tally2.so deny=4 unlock_time=1800
# /etc/shadow, /etc/security/opasswd 소유자 root & 퍼미션 400 설정
# 일반 사용자 중요 명령어 사용 막기
I. /usr/bin/last 소유자 root & 퍼미션 700 설정
II. /usr/sbin/ifconfig or /sbin/ifconfig 소유자 root & 퍼미션 700 설정
# FTP 접근제어 파일에 대한 접근 권한 제한하기
I. /etc/vsftpd.ftpusers, /etc/vsftpd.user_list 소유자 root & 퍼미션 600
II. /etc/ssh/sshd_config 에서 sftp 한 줄 주석 처리 & kill -9 <sftp-server pid> & service restart sshd
# cron 설정 파일에 대한 접근 권한 제한
I. touch /etc/cron.deny
II. vi /etc/cron.allow 내용은 ‘root’ 한 줄, 빈 공란 한 줄
root
III. chmod 600 /etc/cron.deny & chomd 600 /etc/cron.allow
# 백업 파일 접근 권한 설정 (위에서 설정 완료)
chmod 600 /var/log/btmp*
chmod 600 /var/log/wtmp*
chmod 600 /var/log/auth.log*
chmod 600 /var/run/utmp
# vi /etc/profile (계정 umask 설정 022 & 세션 타임아웃 30분 설정)
맨 아래에
TMOUT=1800
umask 022
추가
Developer Lee 