阿里雲標準 CentOS7安全檢查

身份鑑別：檢查系統空密碼賬戶

在 /etc/login.defs 中將pass_warn_age引數設定為7-14之間，建議為7：pass_warn_age 7；同時執行命令使root使用者設定生效：

chage --warndays 7 root

身份鑑別：確保root是唯一的uid為0的賬戶，除root以外其他uid為0的使用者都應該刪除，或者為其分配新的uid

除root以外其他uid為0的使用者都應該刪除，或者為其分配新的uid

檢視命令：

cat /etc/passwd | awk -f: '($3 == 0) '|grep -v '^root$'

身份鑑別：密碼複雜度檢查，檢查密碼長度和密碼是否使用多種字元型別

編輯/etc/security/pwquality.conf，把minlen（密碼最小長度）設定為9-32位，把minclass（至少包含小寫字母、大寫字母、數字、特殊字元等4類字元中等3類或4類）設定為3或4。如：minlen=10 minclass=3

身份鑑別：設定密碼失效時間，強制定期修改密碼，減少密碼被洩露和猜測風險

使用非密碼登陸方式如金鑰對，請忽略此項。

身份鑑別：設定密碼修改最小時間間隔時間，限制密碼修改過於頻繁

在/etc/login.defs中將pass_min_days引數設定為7-14之間,建議為7：pass_min_days 7

需同時執行命令為root使用者設定：chage --mindays 7 root

身份鑑別：檢查密碼重用是否受限制，強制使用者不使用最近使用的密碼，降低猜測密碼攻擊風險

在/etc/pam.d/password-auth和/etc/pam.d/system-auth中password sufficient pam_unix.so這行的末尾配置remember引數為5-24之間，原來的內容不用更改, 只在末尾加了remember=5。

服務配置：禁止ssh空密碼賬戶登入

編輯檔案/etc/ssh/sshd_config，將permitemptypasswords配置為no：permitemptypasswords no

服務配置：確保ssh maxauthtries設定為3到6之間，設定較低的max authtrimes引數將降低ssh伺服器被暴力攻擊成功的風險

在/etc/ssh/sshd_config中取消maxauthtries注釋符號#，設定最大密碼嘗試失敗次數3-6，建議為4：maxauthtries 4

服務配置：sshd強制使用v2安全協議

服務配置：設定ssh空閒超時退出時間，可降低未授權使用者訪問其他使用者ssh會話的風險

編輯/etc/ssh/sshd_config，將clientaliveinterval設定為300到900，即5-15分鐘，將clientalivecountmax設定為0-3。

服務配置：確保ssh loglevel設定為info，記錄登入和登出活動

編輯/etc/ssh/sshd_config檔案以按如下方式設定引數(取消注釋):loglevel info

安全審計：確保rsyslog服務已啟用，記錄日誌以供審計

執行以下命令啟用rsyslog服務：

systemctl enable rsyslog

systemctl start rsyslog

檔案許可權：訪問控制配置檔案的許可權設定

執行以下4條命令：

chown root:root /etc/hosts.allow chown root:root /etc/hosts.deny chmod 644 /etc/hosts.deny

chmod 644 /etc/hosts.allow

檔案許可權：設定使用者許可權配置檔案的許可權

執行以下5條命令：

chown root:root /etc/passwd /etc/shadow /etc/group /etc/gshadow chmod 0644 /etc/group chmod 0644 /etc/passwd chmod 0400 /etc/shadow

chmod 0400 /etc/gshadow

執行命令：

sysctl -w kernel.randomize_va_space=2