加固建議在 /etc/login.defs 中將 pass_min_days 引數設定為7-14之間,建議為7:
```pass_min_days
7```
需同時執行命令為root使用者設定:
```chage --mindays 7
root
```
設定ssh空閒超時退出時間,可降低未授權使用者訪問其他使用者ssh會話的風險
```clientaliveinterval
600clientalivecountmax
2```
檢查密碼長度和密碼是否使用多種字元型別
```minlen=10
minclass=3
```強制使用者不重用最近使用的密碼,降低密碼猜測攻擊風險
在/etc/pam.d/password-auth和/etc/pam.d/system-auth中password sufficient pam_unix.so這行的末尾配置remember引數為5-24之間,原來的內容不用更改,只在末尾加了remember=5。
檢查系統空密碼賬戶
為使用者設定乙個非空密碼,或者執行`passwd -l `鎖定使用者
禁止ssh空密碼使用者登入
編輯檔案`/etc/ssh/sshd_config`,將permitemptypasswords配置為no:```permitemptypasswords no
```
設定密碼失效時間,強制定期修改密碼,減少密碼被洩漏和猜測風險,使用非密碼登陸方式(如金鑰對)請忽略此項。
`使用非密碼登陸方式如金鑰對,請忽略此項。`在 `/etc/login.defs `中將 pass_max_days 引數設定為 60-180之間,如:```pass_max_days
90```
```
chage --maxdays 90
root
```
確保密碼到期警告天數為7或更多
在 /etc/login.defs 中將 pass_warn_age 引數設定為7-14之間,建議為7:```
pass_warn_age
7```
同時執行命令使root使用者設定生效:
```chage --warndays 7
root
```
設定較低的max authtrimes引數將降低ssh伺服器被暴力攻擊成功的風險。
在/etc/ssh/sshd_config中取消maxauthtries注釋符號#,設定最大密碼嘗試失敗次數3-6,建議為4:
```maxauthtries
4```
確保rsyslog服務已啟用,記錄日誌用於審計
執行以下命令啟用rsyslog服務:```systemctl enable rsyslog
systemctl start rsyslog
```
確保ssh loglevel設定為info,記錄登入和登出活動
編輯 /etc/ssh/sshd_config 檔案以按如下方式設定引數(取消注釋):```loglevel info
```
訪問控制配置檔案的許可權設定
執行以下4條命令:```chown root:root /etc/hosts.allow
chown root:root /etc/hosts.deny
chmod
644 /etc/hosts.deny
chmod
644 /etc/hosts.allow
```
它將程序的記憶體空間位址隨機化來增大入侵者**目的位址難度,從而降低程序被成功入侵的風險
在/etc/sysctl.conf或/etc/sysctl.d/*檔案中設定以下引數:
`kernel.randomize_va_space = 2`
執行命令:
`sysctl -w kernel.randomize_va_space=2`
除root以外其他uid為0的使用者都應該刪除,或者為其分配新的uid
除root以外其他uid為0的使用者(檢視命令`cat /etc/passwd | awk -f: '($3 == 0)
'|grep -v '
^root$
' `)都應該刪除,或者為其分配新的uid
加固建議
在 /etc/login.defs 中將 pass_min_days 引數設定為7-14之間,建議為7:```pass_min_days 7
```需同時執行命令為root使用者設定:
```chage --mindays 7 root
```
CentOS7雲主機SSH安全設定
今天早上發現伺服器被別人ssh非法嘗試登入了無數次了,趕緊配置一下 1.ssh keygen t rsa 2.cd root ssh 3.ls 5.rm f id rsa,可選 6.cat root ssh id rsa.pub root ssh authorized keys 7.修改 etc s...
mysql安全基線設定
禁用local infile選項會降低攻擊者通過sql注入漏洞器讀取敏感檔案的能力 編輯mysql配置檔案 etc my.cnf,在 mysqld 段落中配置local infile引數為0,並重啟mysql服務 local infile 0 測試資料庫可供所有使用者訪問,並可用於消耗系統資源。刪除...
redis安全基線設定
使用root許可權去執行網路服務是比較有風險的 nginx和apache都是有獨立的work使用者,而redis沒有 redis crackit 漏洞就是利用root使用者的許可權來替換或者增加authorized keys,來獲取root登入許可權的 使用root切換到redis使用者啟動服務 u...