一、檢查系統(tǒng)空密碼賬戶 | 身份鑒別

描述

檢查系統(tǒng)空密碼賬戶

加固建議

為用戶設(shè)置一個非空密碼，或者執(zhí)行passwd -l <username>鎖定用戶

操作時建議做好記錄或備份

二、禁止SSH空密碼用戶登錄 | SSH服務(wù)配置

描述

禁止SSH空密碼用戶登錄

加固建議

編輯文件/etc/ssh/sshd_config，將PermitEmptyPasswords配置為no:

PermitEmptyPasswords no
操作時建議做好記錄或備份

三、設(shè)置密碼失效時間 | 身份鑒別

描述

設(shè)置密碼失效時間，強(qiáng)制定期修改密碼，減少密碼被泄漏和猜測風(fēng)險，使用非密碼登錄方式（如密鑰對）請忽略此項。

加固建議

使用非密碼登錄方式如密鑰對，請忽略此項。在 /etc/login.defs中將 PASS_MAX_DAYS 參數(shù)設(shè)置為 60-180之間，如:

PASS_MAX_DAYS 90
需同時執(zhí)行命令設(shè)置root密碼失效時間：

chage --maxdays 90 root
操作時建議做好記錄或備份

四、設(shè)置密碼修改最小間隔時間 | 身份鑒別

描述

設(shè)置密碼修改最小間隔時間，限制密碼更改過于頻繁

加固建議

在 /etc/login.defs 中將 PASS_MIN_DAYS 參數(shù)設(shè)置為7-14之間,建議為7：

PASS_MIN_DAYS 7
需同時執(zhí)行命令為root用戶設(shè)置：

chage --mindays 7 root
操作時建議做好記錄或備份

五、確保密碼到期警告天數(shù)為7或更多 | 身份鑒別

描述

確保密碼到期警告天數(shù)為28或更多

加固建議

在 /etc/login.defs 中將 PASS_WARN_AGE 參數(shù)設(shè)置為7-14之間，建議為7：

PASS_WARN_AGE 7
同時執(zhí)行命令使root用戶設(shè)置生效：

chage --warndays 7 root
操作時建議做好記錄或備份

六、確保SSH MaxAuthTries設(shè)置為3到6之間 | SSH服務(wù)配置

描述

設(shè)置較低的Max AuthTrimes參數(shù)將降低SSH服務(wù)器被暴力攻擊成功的風(fēng)險。

加固建議

在/etc/ssh/sshd_config中取消MaxAuthTries注釋符號#，設(shè)置最大密碼嘗試失敗次數(shù)3-6，建議為4：

MaxAuthTries 4
操作時建議做好記錄或備份

七、設(shè)置SSH空閑超時退出時間 | 服務(wù)配置

描述

設(shè)置SSH空閑超時退出時間，可降低未授權(quán)用戶訪問其他用戶SSH會話的風(fēng)險

加固建議

編輯/etc/ssh/sshd_config，將ClientAliveInterval 設(shè)置為300到900，即5-15分鐘，將ClientAliveCountMax設(shè)置為0-3之間。

ClientAliveInterval 600
ClientAliveCountMax 2
操作時建議做好記錄或備份

八、確保rsyslog服務(wù)已啟用 | 安全審計

描述

確保rsyslog服務(wù)已啟用，記錄日志用于審計

加固建議

運行以下命令啟用rsyslog服務(wù)：

systemctl enable rsyslog
systemctl start rsyslog
操作時建議做好記錄或備份

九、確保SSH LogLevel設(shè)置為INFO | 服務(wù)配置

描述

確保SSH LogLevel設(shè)置為INFO，記錄登錄和注銷活動

加固建議

編輯 /etc/ssh/sshd_config 文件以按如下方式設(shè)置參數(shù)(取消注釋):

LogLevel INFO
操作時建議做好記錄或備份

十、訪問控制配置文件的權(quán)限設(shè)置 | 文件權(quán)限

描述

訪問控制配置文件的權(quán)限設(shè)置

加固建議

運行以下4條命令：

chown root:root /etc/hosts.allow
chown root:root /etc/hosts.deny
chmod 644 /etc/hosts.deny
chmod 644 /etc/hosts.allow
操作時建議做好記錄或備份

十一、設(shè)置用戶權(quán)限配置文件的權(quán)限 | 文件權(quán)限

描述

設(shè)置用戶權(quán)限配置文件的權(quán)限

加固建議

執(zhí)行以下5條命令

chown root:root /etc/passwd /etc/shadow /etc/group /etc/gshadow
chmod 0644 /etc/group
chmod 0644 /etc/passwd
chmod 0400 /etc/shadow
chmod 0400 /etc/gshadow
操作時建議做好記錄或備份

十二、開啟地址空間布局隨機(jī)化 | 入侵防范

描述

它將進(jìn)程的內(nèi)存空間地址隨機(jī)化來增大入侵者預(yù)測目的地址難度，從而降低進(jìn)程被成功入侵的風(fēng)險

加固建議

在/etc/sysctl.conf或/etc/sysctl.d/*文件中設(shè)置以下參數(shù)： kernel.randomize_va_space = 2 執(zhí)行命令： sysctl -w kernel.randomize_va_space=2

操作時建議做好記錄或備份

十三、確保root是唯一的UID為0的帳戶 | 身份鑒別

描述

除root以外其他UID為0的用戶都應(yīng)該刪除，或者為其分配新的UID

加固建議

除root以外其他UID為0的用戶(查看命令cat /etc/passwd | awk -F: '($3 == 0) { print?KaTeX parse error: Expected 'EOF', got '}' at position 3: 1 }?'|grep -v '^roo…')都應(yīng)該刪除，或者為其分配新的UID

操作時建議做好記錄或備份

十四、密碼復(fù)雜度檢查 | 身份鑒別

描述

檢查密碼長度和密碼是否使用多種字符類型

加固建議

編輯/etc/security/pwquality.conf，把minlen（密碼最小長度）設(shè)置為9-32位，把minclass（至少包含小寫字母、大寫字母、數(shù)字、特殊字符等4類字符中的3類或4類）設(shè)置為3或4。如：

minlen=10
minclass=3
操作時建議做好記錄或備份

十五、檢查密碼重用是否受限制 | 身份鑒別

描述

強(qiáng)制用戶不重用最近使用的密碼，降低密碼猜測攻擊風(fēng)險

加固建議

在/etc/pam.d/password-auth和/etc/pam.d/system-auth中password sufficient pam_unix.so 這行的末尾配置remember參數(shù)為5-24之間，原來的內(nèi)容不用更改，只在末尾加了remember=5。

操作時建議做好記錄或備份

參考：Centos7十五項安全加固標(biāo)準(zhǔn)配置（阿里云標(biāo)準(zhǔn)安全基線檢查）

總結(jié)

以上是生活随笔為你收集整理的Linux服务器基本安全加固的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。