Cent OS 基线加固

HUC-WFX 8月前 ⋅ 2606 阅读

1、Linux帐户口令生存期策略

描述:口令老化(Password aging)是一种增强的系统口令生命期认证机制,能够确保用户的口令定期更换,提高系统安全性。 处理建议: 修改文件/etc/login.defs,配置 PASS_MAX_DAYS 90

2、限制root权限用户远程登录

描述:限制root权限远程登录。先以普通权限用户远程登录后,再切换到超级管理员权限账号后执行相应操作,可以提升系统安全性。 处理建议: 修改文件/etc/ssh/sshd_config配置 PermitRootLogin no 重启sshd服务

3、Linux帐户超时自动登出配置

描述:配置帐户超时自动登出,在用户输入空闲一段时间后自动断开。 处理建议: 修改/etc/profile文件,设置定时账户自动登出时间 export TMOUT=180

4、Linux未配置账户登录失败锁定策略

描述:设置账户登录失败锁定策略,加大用户口令被暴力破解的难度。 处理建议 设置连续输错5次口令,帐号锁定5分钟。 在进行此项安全加固工作前,请先检查PAM模块版本,搜索pam_tally2是否存在,如果pam_tally2存在,修改配置文件。【注意: 各系统配置不一,请根据当前系统进行适当配置,并仔细评估对系统的影响】 修复方案(仅供参考,请勿直接配置): centos 修改配置/etc/pam.d/password-auth(将配置添加到合适的位置): auth required pam_tally2.so deny=5 unlock_time=300 even_deny_root root_unlock_time=300 account required pam_tally2.so ubuntu,debian: 修改配置/etc/pam.d/common-auth(将配置添加到合适的位置): auth required pam_tally2.so deny=5 unlock_time=300 even_deny_root root_unlock_time=300 修改配置/etc/pam.d/common-account参数(将配置添加到合适的位置): account required pam_tally2.so

5、SSH监听在默认端口

描述:SSH监听在默认的22端口容易受到暴力破解攻击,修改为非默认端口可以提高系统的安全性 处理建议: 修改/etc/ssh/sshd_config配置文件中的端口字段配置(Port字段),并重启服务

6、Linux口令过期后账号最长有效天数策略

描述:设置口令过期后账号仍能保持有效的最大天数。 处理建议 编辑/etc/default/useradd文件,配置: INACTIVE=365