溫馨提示×

溫馨提示×

您好,登錄后才能下訂單哦!

密碼登錄×
登錄注冊×
其他方式登錄
點(diǎn)擊 登錄注冊 即表示同意《億速云用戶服務(wù)條款》

CentOS Linux 7安全基線檢查

發(fā)布時(shí)間:2020-06-22 22:04:17 來源:網(wǎng)絡(luò) 閱讀:1931 作者:898009427 欄目:安全技術(shù)

阿里云標(biāo)準(zhǔn)-CentOS Linux 7安全基線檢查

  • 注意:操作時(shí)建議做好記錄或備份

設(shè)置密碼失效時(shí)間 | 身份鑒別

描述:
設(shè)置密碼失效時(shí)間,強(qiáng)制定期修改密碼,減少密碼被泄漏和猜測風(fēng)險(xiǎn),使用非密碼登陸方式(如密鑰對)請忽略此項(xiàng)。

加固建議:
使用非密碼登陸方式如密鑰對,請忽略此項(xiàng)。在 /etc/login.defs 中將 PASS_MAX_DAYS 參數(shù)設(shè)置為 60-180之間,如:

PASS_MAX_DAYS 90

需同時(shí)執(zhí)行命令設(shè)置root密碼失效時(shí)間:

chage --maxdays 90 root

設(shè)置密碼修改最小間隔時(shí)間 | 身份鑒別

描述:
設(shè)置密碼修改最小間隔時(shí)間,限制密碼更改過于頻繁;

加固建議:
在 /etc/login.defs 中將 PASS_MIN_DAYS 參數(shù)設(shè)置為7-14之間,建議為7:

PASS_MIN_DAYS 7

需同時(shí)執(zhí)行命令為root用戶設(shè)置:

chage --mindays 7 root

密碼復(fù)雜度檢查 | 身份鑒別

描述:
檢查密碼長度和密碼是否使用多種字符類型

加固建議:
編輯/etc/security/pwquality.conf,把minlen(密碼最小長度)設(shè)置為9-32位,把minclass(至少包含小寫字母、大寫字母、數(shù)字、特殊字符等4類字符中等3類或4類)設(shè)置為3或4。如:

minlen=10
minclass=3

檢查密碼重用是否受限制 | 身份鑒別

描述:
強(qiáng)制用戶不重用最近使用的密碼,降低密碼猜測***風(fēng)險(xiǎn)

加固建議:
/etc/pam.d/password-auth/etc/pam.d/system-authpassword sufficient pam_unix.so 這行的末尾配置remember參數(shù)為5-24之間,原來的內(nèi)容不用更改,只在末尾加了

remember=5。

SSHD強(qiáng)制使用V2安全協(xié)議 | SSH服務(wù)配置

描述:
SSHD強(qiáng)制使用V2安全協(xié)議

加固建議:
編輯 /etc/ssh/sshd_config 文件以按如下方式設(shè)置參數(shù):

Protocol 2

設(shè)置SSH空閑超時(shí)退出時(shí)間 | 服務(wù)配置

描述:
設(shè)置SSH空閑超時(shí)退出時(shí)間,可降低未授權(quán)用戶訪問其他用戶ssh會(huì)話的風(fēng)險(xiǎn)

加固建議:
編輯/etc/ssh/sshd_config,將ClientAliveInterval 設(shè)置為300到900,即5-15分鐘,將ClientAliveCountMax設(shè)置為0-3之間。

ClientAliveInterval 600
ClientAliveCountMax 2

檢查系統(tǒng)空密碼賬戶 | 身份鑒別

描述:
檢查系統(tǒng)空密碼賬戶

加固建議:
為用戶設(shè)置一個(gè)非空密碼,或者執(zhí)行passwd -l <username>鎖定用戶

禁止SSH空密碼用戶登錄 | SSH服務(wù)配置

描述:
禁止SSH空密碼用戶登錄

加固建議:
編輯文件/etc/ssh/sshd_config,將PermitEmptyPasswords配置為no:

PermitEmptyPasswords no

確保密碼到期警告天數(shù)為7或更多 | 身份鑒別

描述:
確保密碼到期警告天數(shù)為7或更多

加固建議:
在 /etc/login.defs 中將 PASS_WARN_AGE 參數(shù)設(shè)置為7-14之間,建議為7:

PASS_WARN_AGE 7

同時(shí)執(zhí)行命令使root用戶設(shè)置生效:

chage --warndays 7 root

確保SSH MaxAuthTries設(shè)置為3到6之間 | SSH服務(wù)配置

描述:
設(shè)置較低的Max AuthTrimes參數(shù)將降低SSH服務(wù)器被暴力***成功的風(fēng)險(xiǎn)。

加固建議:
/etc/ssh/sshd_config中取消MaxAuthTries注釋符號#,設(shè)置最大密碼嘗試失敗次數(shù)3-6,建議為4:

MaxAuthTries 4

確保rsyslog服務(wù)已啟用 | 安全審計(jì)

描述:
確保rsyslog服務(wù)已啟用,記錄日志用于審計(jì)

加固建議:
運(yùn)行以下命令啟用rsyslog服務(wù):

systemctl enable rsyslog
systemctl start rsyslog

確保SSH LogLevel設(shè)置為INFO | 服務(wù)配置

描述:
確保SSH LogLevel設(shè)置為INFO,記錄登錄和注銷活動(dòng)

加固建議:
編輯 /etc/ssh/sshd_config 文件以按如下方式設(shè)置參數(shù)(取消注釋):

LogLevel INFO

訪問控制配置文件的權(quán)限設(shè)置 | 文件權(quán)限

描述:
訪問控制配置文件的權(quán)限設(shè)置

加固建議:
運(yùn)行以下4條命令:

chown root:root /etc/hosts.allow 
chown root:root /etc/hosts.deny 
chmod 644 /etc/hosts.deny
chmod 644 /etc/hosts.allow

設(shè)置用戶權(quán)限配置文件的權(quán)限 | 文件權(quán)限

描述:
設(shè)置用戶權(quán)限配置文件的權(quán)限

加固建議:
執(zhí)行以下5條命令

chown root:root /etc/passwd /etc/shadow /etc/group /etc/gshadow
chmod 0644 /etc/group  
chmod 0644 /etc/passwd  
chmod 0400 /etc/shadow  
chmod 0400 /etc/gshadow 

開啟地址空間布局隨機(jī)化 | ***防范

描述:
它將進(jìn)程的內(nèi)存空間地址隨機(jī)化來增大者預(yù)測目的地址難度,從而降低進(jìn)程被成功的風(fēng)險(xiǎn)

加固建議:
在/etc/sysctl.conf或/etc/sysctl.d/*文件中設(shè)置以下參數(shù):

kernel.randomize_va_space = 2

執(zhí)行命令:

sysctl -w kernel.randomize_va_space=2

確保root是唯一的UID為0的帳戶 | 身份鑒別

描述:
除root以外其他UID為0的用戶都應(yīng)該刪除,或者為其分配新的UID

加固建議:
除root以外其他UID為0的用戶
查看命令

cat /etc/passwd | awk -F: '($3 == 0) { print $1 }'|grep -v '^root$')

都應(yīng)該刪除,或者為其分配新的UID

向AI問一下細(xì)節(jié)

免責(zé)聲明:本站發(fā)布的內(nèi)容(圖片、視頻和文字)以原創(chuàng)、轉(zhuǎn)載和分享為主,文章觀點(diǎn)不代表本網(wǎng)站立場,如果涉及侵權(quán)請聯(lián)系站長郵箱:is@yisu.com進(jìn)行舉報(bào),并提供相關(guān)證據(jù),一經(jīng)查實(shí),將立刻刪除涉嫌侵權(quán)內(nèi)容。

AI