文章目錄
-
-
-
-
-
- 高檢查系統空密碼賬戶 | 身份鑒别
- 高禁止SSH空密碼使用者登入 | SSH服務配置
- 高設定密碼失效時間 | 身份鑒别
- 高設定密碼修改最小間隔時間 | 身份鑒别
- 高設定密碼修改最小間隔時間 | 身份鑒别
- 高確定密碼到期警告天數為7或更多 | 身份鑒别
- 高確定SSH MaxAuthTries設定為3到6之間 | SSH服務配置
- 高設定SSH空閑逾時退出時間 | 服務配置
- 高確定rsyslog服務已啟用 | 安全審計
- 高確定SSH LogLevel設定為INFO | 服務配置
- 高通路控制配置檔案的權限設定 | 檔案權限
- 高通路控制配置檔案的權限設定 | 檔案權限
- 高設定使用者權限配置檔案的權限 | 檔案權限
- 高開啟位址空間布局随機化 | 入侵防範
- 高確定root是唯一的UID為0的帳戶 | 身份鑒别
- 高密碼複雜度檢查 | 身份鑒别
- 高檢查密碼重用是否受限制 | 身份鑒别
- 高系統登入弱密碼 | 身份鑒别
-
-
-
-
高檢查系統空密碼賬戶 | 身份鑒别
描述檢查系統空密碼賬戶
檢查提示--
加強建議為使用者設定一個非空密碼,或者執行passwd -l <username>鎖定使用者
操作時建議做好記錄或備份
高禁止SSH空密碼使用者登入 | SSH服務配置
描述禁止SSH空密碼使用者登入
檢查提示--
加強建議編輯檔案/etc/ssh/sshd_config,将PermitEmptyPasswords配置為no:PermitEmptyPasswords no
操作時建議做好記錄或備份
高設定密碼失效時間 | 身份鑒别
描述設定密碼失效時間,強制定期修改密碼,減少密碼被洩漏和猜測風險,使用非密碼登陸方式(如密鑰對)請忽略此項。
檢查提示--
加強建議使用非密碼登陸方式如密鑰對,請忽略此項。在 /etc/login.defs中将 PASS_MAX_DAYS 參數設定為 60-180之間,如:PASS_MAX_DAYS 90需同時執行指令設定root密碼失效時間:chage --maxdays 90 root
操作時建議做好記錄或備份
高設定密碼修改最小間隔時間 | 身份鑒别
描述設定密碼修改最小間隔時間,限制密碼更改過于頻繁
檢查提示--
加強建議在 /etc/login.defs 中将 PASS_MIN_DAYS 參數設定為7-14之間,建議為7:PASS_MIN_DAYS 7需同時執行指令為root使用者設定:chage --mindays 7 root
操作時建議做好記錄或備份
高設定密碼修改最小間隔時間 | 身份鑒别
描述設定密碼修改最小間隔時間,限制密碼更改過于頻繁
檢查提示--
加強建議在 /etc/login.defs 中将 PASS_MIN_DAYS 參數設定為7-14之間,建議為7:PASS_MIN_DAYS 7需同時執行指令為root使用者設定:chage --mindays 7 root
操作時建議做好記錄或備份
高確定密碼到期警告天數為7或更多 | 身份鑒别
描述確定密碼到期警告天數為7或更多
檢查提示--
加強建議在 /etc/login.defs 中将 PASS_WARN_AGE 參數設定為7-14之間,建議為7:PASS_WARN_AGE 7同時執行指令使root使用者設定生效:chage --warndays 7 root
操作時建議做好記錄或備份
高確定SSH MaxAuthTries設定為3到6之間 | SSH服務配置
描述設定較低的Max AuthTrimes參數将降低SSH伺服器被暴力攻擊成功的風險。
檢查提示--
加強建議在/etc/ssh/sshd_config中取消MaxAuthTries注釋符号#,設定最大密碼嘗試失敗次數3-6,建議為4:MaxAuthTries 4
操作時建議做好記錄或備份
高設定SSH空閑逾時退出時間 | 服務配置
`描述設定SSH空閑逾時退出時間,可降低未授權使用者通路其他使用者ssh會話的風險
檢查提示–
加強建議編輯/etc/ssh/sshd_config,将ClientAliveInterval 設定為300到900,即5-15分鐘,将ClientAliveCountMax設定為0-3之間。ClientAliveInterval 600
ClientAliveCountMax 2
操作時建議做好記錄或備份`
高確定rsyslog服務已啟用 | 安全審計
描述確定rsyslog服務已啟用,記錄日志用于審計
檢查提示--
加強建議運作以下指令啟用rsyslog服務:systemctl enable rsyslog
systemctl start rsyslog
操作時建議做好記錄或備份
高確定SSH LogLevel設定為INFO | 服務配置
描述確定SSH LogLevel設定為INFO,記錄登入和登出活動
檢查提示--
加強建議編輯 /etc/ssh/sshd_config 檔案以按如下方式設定參數(取消注釋):LogLevel INFO
操作時建議做好記錄或備份
高通路控制配置檔案的權限設定 | 檔案權限
描述通路控制配置檔案的權限設定
檢查提示--
加強建議運作以下4條指令:chown root:root /etc/hosts.allow
chown root:root /etc/hosts.deny
chmod 644 /etc/hosts.deny
chmod 644 /etc/hosts.allow
操作時建議做好記錄或備份
高通路控制配置檔案的權限設定 | 檔案權限
描述通路控制配置檔案的權限設定
檢查提示--
加強建議運作以下4條指令:chown root:root /etc/hosts.allow
chown root:root /etc/hosts.deny
chmod 644 /etc/hosts.deny
chmod 644 /etc/hosts.allow
操作時建議做好記錄或備份
高設定使用者權限配置檔案的權限 | 檔案權限
`描述設定使用者權限配置檔案的權限
檢查提示–
加強建議執行以下5條指令chown root:root /etc/passwd /etc/shadow /etc/group /etc/gshadow
chmod 0644 /etc/group
chmod 0644 /etc/passwd
chmod 0400 /etc/shadow
chmod 0400 /etc/gshadow
操作時建議做好記錄或備份
`
高開啟位址空間布局随機化 | 入侵防範
描述它将程序的記憶體空間位址随機化來增大入侵者預測目的位址難度,進而降低程序被成功入侵的風險
檢查提示--
加強建議在/etc/sysctl.conf或/etc/sysctl.d/*檔案中設定以下參數: kernel.randomize_va_space = 2 執行指令: sysctl -w kernel.randomize_va_space=2
操作時建議做好記錄或備份
高確定root是唯一的UID為0的帳戶 | 身份鑒别
描述除root以外其他UID為0的使用者都應該删除,或者為其配置設定新的UID
檢查提示--
加強建議除root以外其他UID為0的使用者(檢視指令cat /etc/passwd | awk -F: '($3 == 0) { print $1 }'|grep -v '^root$')都應該删除,或者為其配置設定新的UID
操作時建議做好記錄或備份
高密碼複雜度檢查 | 身份鑒别
描述檢查密碼長度和密碼是否使用多種字元類型
檢查提示--
加強建議編輯/etc/security/pwquality.conf,把minlen(密碼最小長度)設定為8-32位,把minclass(至少包含小寫字母、大寫字母、數字、特殊字元等4類字元中等3類或4類)設定為3或4。如:minlen=10
minclass=3
操作時建議做好記錄或備份
高檢查密碼重用是否受限制 | 身份鑒别
描述強制使用者不重用最近使用的密碼,降低密碼猜測攻擊風險
檢查提示--
加強建議在/etc/pam.d/password-auth和/etc/pam.d/system-auth中password sufficient pam_unix.so 這行的末尾配置remember參數為5-24之間,原來的内容不用更改,隻在末尾加了remember=5。
操作時建議做好記錄或備份
高系統登入弱密碼 | 身份鑒别
描述若系統使用弱密碼,存在極大的被惡意猜解入侵風險,需立即修複。
檢查提示--
加強建議執行指令passwd [<user>],然後根據提示輸入新密碼完成修改,其中<user>為使用者名,如果不輸入則修改的是目前使用者的密碼。密碼應符合複雜性要求:1、長度8位以上
2、包含以下四類字元中的三類字元:
英文大寫字母(A 到 Z)
英文小寫字母(a 到 z)
10 個基本數字(0 到 9)
非字母字元(例如 !、$、#、%、@、^、&)
3、避免使用已公開的弱密碼,如:abcd.1234 、[email protected]等
操作時建議做好記錄或備份
![linux-svn解除安裝與安裝[圖]](data:image/gif;base64,R0lGODlhAQABAIAAAP///wAAACwAAAAAAQABAAACAkQBADs=)