Linux CentOS 7安全基线检查

  

阿里云标准Linux centos 7安全基线检查

  
      <李>注意:操作时建议做好记录或备份李   
  

设置密码失效时间|身份鉴别

  

描述:
设置密码失效时间,强制定期修改密码,减少密码被泄漏和猜测风险,使用非密码登陆方式(如密钥对)请忽略此项。

  

加固建议:
使用非密码登陆方式如密钥对,请忽略此项。在/etc/login.defs中将PASS_MAX_DAYS参数设置为60 - 180之间,如:

  
 <代码> PASS_MAX_DAYS 90  
  

需同时执行命令设置根密码失效时间:

  
 <代码>恰克——maxdays 90根 
  

设置密码修改最小间隔时间|身份鉴别

  

描述:
设置密码修改最小间隔时间,限制密码更改过于频繁,

  

加固建议:
在/etc/login.defs中将PASS_MIN_DAYS参数设置为7 - 14之间,建议为7:

  
 <代码> PASS_MIN_DAYS 7  
  

需同时执行命令为根用户设置:

  
 <代码>恰克——mindays 7根 
  

密码复杂度检查|身份鉴别

  

描述:
检查密码长度和密码是否使用多种字符类型

  

加固建议:
编辑/etc/安全/pwquality.conf,把minlen(密码最小长度)设置为9-32位,把minclass(至少包含小写字母、大写字母,数字,特殊字符等4类字符中等3类或4类)设置为3或4。如:

  
 <代码> minlen=10
  minclass=3  
  

检查密码重用是否受限制|身份鉴别

  

描述:
强制用户不重用最近使用的密码,降低密码猜测* * *风险

  

加固建议:
在<代码>/etc/pam.d password-auth 和<代码>/etc/pam。d/system-auth> 密码。所以这行的末尾配置<代码> 记得参数为<代码> 5-24 之间,原来的内容不用更改,只在末尾加了

  
 <代码>记得=5。 
  

SSHD强制使用V2安全协议| SSH服务配置

  

描述:
SSHD强制使用V2安全协议

  

加固建议:
编辑/etc/ssh/sshd_config文件以按如下方式设置参数:

  
 <代码>协议2  
  

设置SSH空闲超时退出时间|服务配置

  

描述:
设置SSH空闲超时退出时间,可降低未授权用户访问其他用户SSH会话的风险

  

加固建议:
编辑/etc/ssh/sshd_config,将ClientAliveInterval设置为300年到900年,即5 - 15分钟,将ClientAliveCountMax设置为0 - 3之间。

  
 <代码> ClientAliveInterval 600
  ClientAliveCountMax 2  
  

检查系统空密码账户|身份鉴别

  

描述:
检查系统空密码账户

  

加固建议:
为用户设置一个非空密码,或者执行passwd - l & lt; username>锁定用户

  

禁止SSH空密码用户登录| SSH服务配置

  

描述:
禁止SSH空密码用户登录

  

加固建议:
编辑文件<代码>/etc/ssh/sshd_config> PermitEmptyPasswords>   

 <代码> PermitEmptyPasswords没有 
  

确保密码到期警告天数为7或更多|身份鉴别

  

描述:
确保密码到期警告天数为7或更多

  

加固建议:
在/etc/login.defs中将PASS_WARN_AGE参数设置为7 - 14之间,建议为7:

  
 <代码> PASS_WARN_AGE 7  
  

同时执行命令使根用户设置生效:

  
 <代码>恰克——warndays 7根 
  

确保SSH MaxAuthTries设置为3到6之间| SSH服务配置

  

描述:
设置较低的马克斯AuthTrimes参数将降低SSH服务器被暴力* * *成功的风险。

  

加固建议:
在<代码>/etc/ssh/sshd_config> MaxAuthTries 注释符号#,设置最大密码尝试失败次数3 - 6,建议为4:

  
 <代码> MaxAuthTries 4  
  

确保rsyslog服务已启用|安全审计

  

描述:
确保rsyslog服务已启用,记录日志用于审计

  

加固建议:
运行以下命令启用rsyslog服务:

  
 <代码> systemctl启用rsyslog
  systemctl开始rsyslog  
  

确保SSH LogLevel设置为信息|服务配置

  

描述:
确保SSH LogLevel <代码> 设置为信息,记录登录和注销活动

  

加固建议:
编辑<代码>/etc/ssh/sshd_config 文件以按如下方式设置参数(取消注释):

  
 <代码> LogLevel信息/代码> 之前
  

访问控制配置文件的权限设置|文件权限

  

描述:
访问控制配置文件的权限设置

Linux CentOS 7安全基线检查