CentOSLinux7安全基線檢查-創(chuàng)新互聯(lián)

阿里云標準-CentOS Linux 7安全基線檢查

成都創(chuàng)新互聯(lián)堅持“要么做到，要么別承諾”的工作理念，服務領域包括：成都網站設計、成都網站建設、企業(yè)官網、英文網站、手機端網站、網站推廣等服務，滿足客戶于互聯(lián)網時代的曲阜網站設計、移動媒體設計的需求，幫助企業(yè)找到有效的互聯(lián)網解決方案。努力成為您成熟可靠的網絡建設合作伙伴！

• 注意：操作時建議做好記錄或備份

設置密碼失效時間 | 身份鑒別

描述：
設置密碼失效時間，強制定期修改密碼，減少密碼被泄漏和猜測風險，使用非密碼登陸方式(如密鑰對)請忽略此項。

加固建議：
使用非密碼登陸方式如密鑰對，請忽略此項。在 /etc/login.defs 中將 PASS_MAX_DAYS 參數(shù)設置為 60-180之間，如：

PASS_MAX_DAYS 90

需同時執(zhí)行命令設置root密碼失效時間：

chage --maxdays 90 root

設置密碼修改最小間隔時間 | 身份鑒別

描述：
設置密碼修改最小間隔時間，限制密碼更改過于頻繁；

加固建議：
在 /etc/login.defs 中將 PASS_MIN_DAYS 參數(shù)設置為7-14之間,建議為7：

PASS_MIN_DAYS 7

需同時執(zhí)行命令為root用戶設置：

chage --mindays 7 root

密碼復雜度檢查 | 身份鑒別

描述：
檢查密碼長度和密碼是否使用多種字符類型

加固建議：
編輯/etc/security/pwquality.conf，把minlen（密碼最小長度）設置為9-32位，把minclass（至少包含小寫字母、大寫字母、數(shù)字、特殊字符等4類字符中等3類或4類）設置為3或4。如：

minlen=10
minclass=3

檢查密碼重用是否受限制 | 身份鑒別

描述：
強制用戶不重用最近使用的密碼，降低密碼猜測***風險

加固建議：
在/etc/pam.d/password-auth和/etc/pam.d/system-auth中password sufficient pam_unix.so 這行的末尾配置remember參數(shù)為5-24之間，原來的內容不用更改，只在末尾加了

remember=5。

SSHD強制使用V2安全協(xié)議 | SSH服務配置

描述：
SSHD強制使用V2安全協(xié)議

加固建議：
編輯 /etc/ssh/sshd_config 文件以按如下方式設置參數(shù)：

Protocol 2

設置SSH空閑超時退出時間 | 服務配置

描述：
設置SSH空閑超時退出時間,可降低未授權用戶訪問其他用戶ssh會話的風險

加固建議：
編輯/etc/ssh/sshd_config，將ClientAliveInterval 設置為300到900，即5-15分鐘，將ClientAliveCountMax設置為0-3之間。

ClientAliveInterval 600
ClientAliveCountMax 2

檢查系統(tǒng)空密碼賬戶 | 身份鑒別

描述：
檢查系統(tǒng)空密碼賬戶

加固建議：
為用戶設置一個非空密碼，或者執(zhí)行passwd -l <username>鎖定用戶

禁止SSH空密碼用戶登錄 | SSH服務配置

描述：
禁止SSH空密碼用戶登錄

加固建議：
編輯文件/etc/ssh/sshd_config，將PermitEmptyPasswords配置為no:

PermitEmptyPasswords no

確保密碼到期警告天數(shù)為7或更多 | 身份鑒別

描述：
確保密碼到期警告天數(shù)為7或更多

加固建議：
在 /etc/login.defs 中將 PASS_WARN_AGE 參數(shù)設置為7-14之間，建議為7：

PASS_WARN_AGE 7

同時執(zhí)行命令使root用戶設置生效：

chage --warndays 7 root

確保SSH MaxAuthTries設置為3到6之間 | SSH服務配置

描述：
設置較低的Max AuthTrimes參數(shù)將降低SSH服務器被暴力***成功的風險。

加固建議：
在/etc/ssh/sshd_config中取消MaxAuthTries注釋符號#，設置大密碼嘗試失敗次數(shù)3-6，建議為4：

MaxAuthTries 4

確保rsyslog服務已啟用 | 安全審計

描述：
確保rsyslog服務已啟用，記錄日志用于審計

加固建議：
運行以下命令啟用rsyslog服務：

systemctl enable rsyslog
systemctl start rsyslog

確保SSH LogLevel設置為INFO | 服務配置

描述：
確保SSH LogLevel設置為INFO,記錄登錄和注銷活動

加固建議：
編輯 /etc/ssh/sshd_config 文件以按如下方式設置參數(shù)(取消注釋):

LogLevel INFO

訪問控制配置文件的權限設置 | 文件權限

描述：
訪問控制配置文件的權限設置

加固建議：
運行以下4條命令：

chown root:root /etc/hosts.allow 
chown root:root /etc/hosts.deny 
chmod 644 /etc/hosts.deny
chmod 644 /etc/hosts.allow

設置用戶權限配置文件的權限 | 文件權限

描述：
設置用戶權限配置文件的權限

加固建議：
執(zhí)行以下5條命令

chown root:root /etc/passwd /etc/shadow /etc/group /etc/gshadow
chmod 0644 /etc/group  
chmod 0644 /etc/passwd  
chmod 0400 /etc/shadow  
chmod 0400 /etc/gshadow

開啟地址空間布局隨機化 | ***防范

描述：
它將進程的內存空間地址隨機化來增大者預測目的地址難度，從而降低進程被成功的風險

加固建議：
在/etc/sysctl.conf或/etc/sysctl.d/*文件中設置以下參數(shù)：

kernel.randomize_va_space = 2

執(zhí)行命令：

sysctl -w kernel.randomize_va_space=2

確保root是唯一的UID為0的帳戶 | 身份鑒別

描述：
除root以外其他UID為0的用戶都應該刪除，或者為其分配新的UID

加固建議：
除root以外其他UID為0的用戶
查看命令

cat /etc/passwd | awk -F: '($3 == 0) { print $1 }'|grep -v '^root$')

都應該刪除，或者為其分配新的UID

另外有需要云服務器可以了解下創(chuàng)新互聯(lián)scvps.cn，海內外云服務器15元起步，三天無理由+7*72小時售后在線，公司持有idc許可證，提供“云服務器、裸金屬服務器、高防服務器、香港服務器、美國服務器、虛擬主機、免備案服務器”等云主機租用服務以及企業(yè)上云的綜合解決方案，具有“安全穩(wěn)定、簡單易用、服務可用性高、性價比高”等特點與優(yōu)勢，專為企業(yè)上云打造定制，能夠滿足用戶豐富、多元化的應用場景需求。

本文名稱：CentOSLinux7安全基線檢查-創(chuàng)新互聯(lián)
網站鏈接：http://muchs.cn/article0/ddpjoo.html

成都網站建設公司_創(chuàng)新互聯(lián)，為您提供小程序開發(fā)、網站排名、網站設計、面包屑導航、網站收錄、建站公司

廣告

聲明：本網站發(fā)布的內容（圖片、視頻和文字）以用戶投稿、用戶轉載內容為主，如果涉及侵權請盡快告知，我們將會在第一時間刪除。文章觀點不代表本網站立場，如需處理請聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內容未經允許不得轉載，或轉載時需注明來源： 創(chuàng)新互聯(lián)