centos7安全基線設定

2022-03-21 10:34:26 字數 2529 閱讀 5699

加固建議


在 /etc/login.defs 中將 pass_min_days 引數設定為7-14之間,建議為7:


```pass_min_days 


7```


需同時執行命令為root使用者設定:


```chage --mindays 7


root


```

設定ssh空閒超時退出時間,可降低未授權使用者訪問其他使用者ssh會話的風險

```clientaliveinterval

600clientalivecountmax

2```

檢查密碼長度和密碼是否使用多種字元型別

```minlen=10

minclass=3

```強制使用者不重用最近使用的密碼,降低密碼猜測攻擊風險

在/etc/pam.d/password-auth和/etc/pam.d/system-auth中password sufficient pam_unix.so 


這行的末尾配置remember引數為5-24之間,原來的內容不用更改,只在末尾加了remember=5。

檢查系統空密碼賬戶

為使用者設定乙個非空密碼,或者執行`passwd -l `鎖定使用者

禁止ssh空密碼使用者登入

編輯檔案`/etc/ssh/sshd_config`,將permitemptypasswords配置為no:


```permitemptypasswords no


```

設定密碼失效時間,強制定期修改密碼,減少密碼被洩漏和猜測風險,使用非密碼登陸方式(如金鑰對)請忽略此項。

`使用非密碼登陸方式如金鑰對,請忽略此項。`在 `/etc/login.defs `中將 pass_max_days 引數設定為 60-180之間,如:


```pass_max_days 


90```


``` 


chage --maxdays 90


root


```

確保密碼到期警告天數為7或更多

在 /etc/login.defs 中將 pass_warn_age 引數設定為7-14之間,建議為7:


``` 


pass_warn_age 


7```


同時執行命令使root使用者設定生效: 


```chage --warndays 7


root


```

設定較低的max authtrimes引數將降低ssh伺服器被暴力攻擊成功的風險。

在/etc/ssh/sshd_config中取消maxauthtries注釋符號#,設定最大密碼嘗試失敗次數3-6


,建議為4:


```maxauthtries 


4```

確保rsyslog服務已啟用,記錄日誌用於審計

執行以下命令啟用rsyslog服務:


```systemctl enable rsyslog


systemctl start rsyslog


```

確保ssh loglevel設定為info,記錄登入和登出活動

編輯 /etc/ssh/sshd_config 檔案以按如下方式設定引數(取消注釋):


```loglevel info


```

訪問控制配置檔案的許可權設定

執行以下4條命令:


```chown root:root /etc/hosts.allow 


chown root:root /etc/hosts.deny 


chmod 


644 /etc/hosts.deny


chmod 


644 /etc/hosts.allow


```

它將程序的記憶體空間位址隨機化來增大入侵者**目的位址難度,從而降低程序被成功入侵的風險

在/etc/sysctl.conf或/etc/sysctl.d/*


檔案中設定以下引數:


`kernel.randomize_va_space = 2`


執行命令:


`sysctl -w kernel.randomize_va_space=2`

除root以外其他uid為0的使用者都應該刪除,或者為其分配新的uid

除root以外其他uid為0的使用者(檢視命令`cat /etc/passwd | awk -f: '


($3 == 0) 


'|grep -v '


^root$


' `)都應該刪除,或者為其分配新的uid

加固建議

在 /etc/login.defs 中將 pass_min_days 引數設定為7-14之間,建議為7:


```pass_min_days 7


```需同時執行命令為root使用者設定:


```chage --mindays 7 root


```

CentOS7雲主機SSH安全設定

今天早上發現伺服器被別人ssh非法嘗試登入了無數次了,趕緊配置一下 1.ssh keygen t rsa 2.cd root ssh 3.ls 5.rm f id rsa,可選 6.cat root ssh id rsa.pub root ssh authorized keys 7.修改 etc s...

mysql安全基線設定

禁用local infile選項會降低攻擊者通過sql注入漏洞器讀取敏感檔案的能力 編輯mysql配置檔案 etc my.cnf,在 mysqld 段落中配置local infile引數為0,並重啟mysql服務 local infile 0 測試資料庫可供所有使用者訪問,並可用於消耗系統資源。刪除...

redis安全基線設定

使用root許可權去執行網路服務是比較有風險的 nginx和apache都是有獨立的work使用者,而redis沒有 redis crackit 漏洞就是利用root使用者的許可權來替換或者增加authorized keys,來獲取root登入許可權的 使用root切換到redis使用者啟動服務 u...