阿里云标准Linux centos 7安全基线检查
-
<李>注意:操作时建议做好记录或备份李>
设置密码失效时间|身份鉴别
描述:
设置密码失效时间,强制定期修改密码,减少密码被泄漏和猜测风险,使用非密码登陆方式(如密钥对)请忽略此项。
加固建议:
使用非密码登陆方式如密钥对,请忽略此项。在/etc/login.defs中将PASS_MAX_DAYS参数设置为60 - 180之间,如:
<代码> PASS_MAX_DAYS 90 代码>
需同时执行命令设置根密码失效时间:
<代码>恰克——maxdays 90根代码>
设置密码修改最小间隔时间|身份鉴别
描述:
设置密码修改最小间隔时间,限制密码更改过于频繁,
加固建议:
在/etc/login.defs中将PASS_MIN_DAYS参数设置为7 - 14之间,建议为7:
<代码> PASS_MIN_DAYS 7 代码>
需同时执行命令为根用户设置:
<代码>恰克——mindays 7根代码>
密码复杂度检查|身份鉴别
描述:
检查密码长度和密码是否使用多种字符类型
加固建议:
编辑/etc/安全/pwquality.conf,把minlen(密码最小长度)设置为9-32位,把minclass(至少包含小写字母、大写字母,数字,特殊字符等4类字符中等3类或4类)设置为3或4。如:
<代码> minlen=10 minclass=3 代码>
检查密码重用是否受限制|身份鉴别
描述:
强制用户不重用最近使用的密码,降低密码猜测* * *风险
加固建议:
在<代码>/etc/pam.d password-auth 代码>和<代码>/etc/pam。d/system-auth> 代码中足够的pam_unix <代码>密码。所以代码>这行的末尾配置<代码> 代码>记得参数为<代码> 5-24 代码>之间,原来的内容不用更改,只在末尾加了
<代码>记得=5。代码>
SSHD强制使用V2安全协议| SSH服务配置
描述:
SSHD强制使用V2安全协议
加固建议:
编辑/etc/ssh/sshd_config文件以按如下方式设置参数:
<代码>协议2 代码>
设置SSH空闲超时退出时间|服务配置
描述:
设置SSH空闲超时退出时间,可降低未授权用户访问其他用户SSH会话的风险
加固建议:
编辑/etc/ssh/sshd_config,将ClientAliveInterval设置为300年到900年,即5 - 15分钟,将ClientAliveCountMax设置为0 - 3之间。
<代码> ClientAliveInterval 600 ClientAliveCountMax 2 代码>
检查系统空密码账户|身份鉴别
描述:
检查系统空密码账户
加固建议:
为用户设置一个非空密码,或者执行passwd - l & lt; username>锁定用户
禁止SSH空密码用户登录| SSH服务配置
描述:
禁止SSH空密码用户登录
加固建议:
编辑文件<代码>/etc/ssh/sshd_config> 代码,将<代码> PermitEmptyPasswords> 代码配置为不:
<代码> PermitEmptyPasswords没有代码>
确保密码到期警告天数为7或更多|身份鉴别
描述:
确保密码到期警告天数为7或更多
加固建议:
在/etc/login.defs中将PASS_WARN_AGE参数设置为7 - 14之间,建议为7:
<代码> PASS_WARN_AGE 7 代码>
同时执行命令使根用户设置生效:
<代码>恰克——warndays 7根代码>
确保SSH MaxAuthTries设置为3到6之间| SSH服务配置
描述:
设置较低的马克斯AuthTrimes参数将降低SSH服务器被暴力* * *成功的风险。
加固建议:
在<代码>/etc/ssh/sshd_config> 代码中取消<代码> MaxAuthTries 代码>注释符号#,设置最大密码尝试失败次数3 - 6,建议为4:
<代码> MaxAuthTries 4 代码>
确保rsyslog服务已启用|安全审计
描述:
确保rsyslog服务已启用,记录日志用于审计
加固建议:
运行以下命令启用rsyslog服务:
<代码> systemctl启用rsyslog systemctl开始rsyslog 代码>
确保SSH LogLevel设置为信息|服务配置
描述:
确保SSH LogLevel <代码> 代码>设置为信息,记录登录和注销活动
加固建议:
编辑<代码>/etc/ssh/sshd_config 代码>文件以按如下方式设置参数(取消注释):
<代码> LogLevel信息/代码> >之前访问控制配置文件的权限设置|文件权限
描述:
访问控制配置文件的权限设置Linux CentOS 7安全基线检查