2. 程式人生 > >阿里雲CentOS Linux 7安全基線檢查

阿里雲CentOS Linux 7安全基線檢查

阿新 發佈:2019-06-09

參考...

高設定使用者許可權配置檔案的許可權 | 檔案許可權

執行以下5條命令
 chown root:root /etc/passwd /etc/shadow /etc/group /etc/gshadow
 chmod 0644 /etc/group 
 chmod 0644 /etc/passwd 
 chmod 0400 /etc/shadow 
 chmod 0400 /etc/gshadow


高確保SSH LogLevel設定為INFO | 服務配置
 編輯 /etc/ssh/sshd_config 檔案以按如下方式設定引數(取消註釋):
 LogLevel INFO

 高設定SSH空閒超時退出時間 | 服務配置
 設定SSH空閒超時退出時間,可降低未授權使用者訪問其他使用者ssh會話的風險
編輯/etc/ssh/sshd_config,將ClientAliveInterval 設定為300到900,即5-15分鐘,將ClientAliveCountMax設定為0。 ClientAliveInterval 900 ClientAliveCountMax 0

高SSHD強制使用V2安全協議 | 服務配置
編輯 /etc/ssh/sshd_config 檔案以按如下方式設定引數: Protocol 2

高確保SSH MaxAuthTries設定為3到6之間 | 服務配置
設定較低的Max AuthTrimes引數將降低SSH伺服器被暴力攻擊成功的風險。


在/etc/ssh/sshd_config中取消MaxAuthTries註釋符號#,設定最大密碼嘗試失敗次數3-6,建議為4: MaxAuthTries 4
高設定密碼修改最小間隔時間 | 身份鑑別
設定密碼修改最小間隔時間,限制密碼更改過於頻繁
在 /etc/login.defs 中將 PASS_MIN_DAYS 引數設定為7-14之間,建議為7: PASS_MIN_DAYS 7 需同時執行命令為root使用者設定: chage --mindays 7 


高設定密碼失效時間 | 身份鑑別
設定密碼失效時間,強制定期修改密碼,減少密碼被洩漏和猜測風險,使用非密碼登陸方式(如金鑰對)請忽略此項。
使用非密碼登陸方式如金鑰對,請忽略此項。在 /etc/login.defs 中將 PASS_MAX_DAYS 引數設定為 60-180之間,如 PASS_MAX_DAYS 90。需同時執行命令設定root密碼失效時間: chage --maxdays 90 root。

高禁止SSH空密碼使用者登入 | 服務配置
在/etc/ssh/sshd_config中取消PermitEmptyPasswords no註釋符號#


高密碼複雜度檢查 | 身份鑑別
編輯/etc/security/pwquality.conf,把minlen(密碼最小長度)設定為9-32位,把minclass(至少包含小寫字母、大寫字母、數字、特殊字元等4類字元中等3類或4類)設定為3或4。如: minlen=10 minclass=3

高確保root是唯一的UID為0的帳戶 | 身份鑑別
除root以外其他UID為0的使用者(檢視命令cat /etc/passwd | awk -F: '($3 == 0) { print $1 }'|grep -v '^root$' )都應該刪除,或者為其分配新的UID

高開啟地址空間佈局隨機化 | 入侵防範
它將程序的記憶體空間地址隨機化來增大入侵者預測目的地址難度,從而降低程序被成功入侵的風險
執行命令:
 sysctl -w kernel.randomize_va_space=2

高檢查系統空密碼賬戶| 身份鑑別
為使用者設定一個非空密碼
高訪問控制配置檔案的許可權設定 | 檔案許可權
執行以下4條命令: chown root:root /etc/hosts.allow chown root:root /etc/hosts.deny chmod 644 /etc/hosts.deny chmod 644 /etc/hosts.allow
高確保rsyslog服務已啟用 | 安全審計
執行以下命令啟用rsyslog服務 systemctl enable rsyslog


高確保密碼到期警告天數為7或更多 | 身份鑑別
在 /etc/login.defs 中將 PASS_WARN_AGE 引數設定為7-14之間,建議為7: PASS_WARN_AGE 7 。同時執行命令使root使用者設定生效: chage --warndays 7 root
高檢查密碼重用是否受限制 | 身份鑑別
強制使用者不重用最近使用的密碼,降低密碼猜測攻擊風險


在/etc/pam.d/password-auth和/etc/pam.d/system-auth中password sufficient pam_unix.so 這行的末尾配置remember引數為5-24之間,原來的內容不用更改。如下面只在末尾加了remember=5,即可限制不能重用最近5個密碼。 password sufficient pam_unix.so sha512 try_

相關推薦

阿里CentOS Linux 7安全基線檢查

參考... 高設定使用者許可權配置檔案的許可權 | 檔案許可權 執行以下5條命令  chown root:root

阿里CentOS Linux伺服器上用postfix搭建郵件伺服器

注:本文的郵件伺服器只用於傳送郵件,也就是STMP伺服器。 一、準備工作 1. 為郵件伺服器新增DNS解析 雖然不加DNS解析也能把郵件發出去,但會被大多數郵件伺服器當作垃圾郵件。根據我們的實際經驗,需要新增三條DNS解析記錄:A記錄、MX記錄、TXT記錄。比如域名

阿里centOSlinux 常用安全軟體

阿里雲伺服器被我又㕛叒叕重新格式化了。 記錄一下常用的軟體安裝。 1.生成金鑰 ssh-keygen -t rsa -C "[email protected]"   在/root/.ssh/ authorized_keys 上加入自己的公鑰,然後自己電腦

Linux阿里centos 7)掛載無法硬碟怎麼解決

Linux(阿里雲centos 7)報錯error mounting/dev/vdb5 at/run/media/root/新加捲:filesystem type ntfs not configured in kernel掛載無法硬碟怎麼解決 解決步驟: 1. 需要安裝ntfs-3

阿里ECS Linux CentOS 7.4 Kaptcha 驗證碼 顯示異常

新購買了一臺 阿里雲ECS 系統版本 CentOS 7.4 部署程式後 登入介面發現驗證碼異常顯示 程式無報錯,分析師字符集問題。 baidu了下處理方案 1、檢視預設字符集 發現 預設字符集是 msam10.ttf 2、重新命名 msam10.ttf 或

阿里CentOS 7.3 裸機搭建 Apache、MySql、PHP、Node環境、並繫結域名

阿里雲CentOS 7.3 裸機搭建 Apache、MySql、PHP、Node境、並繫結域名 最近一直想在阿里雲申請一個伺服器,可以在上面跑一些服務,輸入域名訪問,那種感覺肯定很不一樣。所以就花學生價買了一年,還是挺划算的。 域名備案花了挺長時間,又上傳照片又打電話核實的挺麻煩的,不過

阿里CentOS安裝mysql5.7

CentOS yum安裝mysql的大概步驟: 1. 配置yum源 下載mysql源安裝包:wget http://dev.mysql.com/get/mysql57-community-release-el7-8.noarch.rpm 安裝mysql源:y

阿里CentOS 7.4配置ftp服務

阿里雲CentOS 7.4配置ftp服務 1.遠端連線並登入到 Linux 例項。 2.更新yum源 yum -y update(可選) 3.執行以下命令安裝 vsftpd。 yum install -y vsftpd 4. 執行以下命令設定開機自啟動。 systemct

阿里Centos 7部署DJango2.0應用(uwsgi3 +Nginx)

目錄 前言 上傳以及伺服器環境部分 uwsgi部分 nginx部分 靜態檔案 阿里雲端口許可權開啟 前言 先概括下訪問流程: 首先客戶端發起請求,這裡會有TCP的握手,三次握手結束之時,客戶端會帶上http資料給伺服器(請求行,請求頭,請求體),伺服器會接

阿里伺服器linux(centos)常用命令

注:因為自己租了一臺阿里雲伺服器,沒事就折騰一下,作為是一個新生黨,每次都需要網上查詢命令列,很是麻煩,所以乾脆網上搜羅,總結出來,有些命令列不知道正不正確,我自己沒有測試過。。。。 系統資訊 arch 顯示機器的處理器架構(1) uname -m 顯示機器的處理器架構(2

阿里 Centos 7.2 環境配置 LNMP

首先更新系統軟體 $ yum update   安裝nginx 1.安裝nginx源 $ yum localinstall http://nginx.org/packages/centos/7/noarch/RPMS/n

阿里CentOS 7無外網IP的ECS訪問外網(配置閘道器伺服器)

說明: 1、必須要有一臺機器具有外網IP的ECS。 2、如果不想配置具有外網IP的ECS時,可以購買NAT閘道器,但需要錢,貴。下面會說明NAT閘道器的配置。 3、最後吐槽一下阿里雲VPC閘道器導致不能按照配置普通閘道器一樣配置(參考:https://www.cnblogs.com/EasonJim/p

阿里 Centos 7.2開啟ftp服務用到埠

記錄1 https://www.jianshu.com/p/bf772ffc0c95 阿里雲CentOS7搭建任何網路服務,需要配置相應的安全組規則。 開啟阿里雲端口許可權 阿里雲伺服器埠許可權是由安全組規則控制,所以配置FTP服務,需要開啟伺服器的20/21埠許可權。 由於需要F

阿里CentOS 7.4 簡單快速搭建Strongswan IKEv2型別 教程模板

1、安裝strongswan yum install strongswan 2、建立證書 strongswan pki --gen --outform pem > ca.key.pem strongswan pki --self --in ca.key.pem --dn "C=CN

阿里CentOS 7.4下安裝WSTMart開源商城系統

商淘軟體B2B2C(WSTMart)開源商城系統在linux下的安裝,阿里雲Cent 7.4版本安裝命令教程: WSTMart 安裝apache 安裝服務 yum install httpd

阿里Centos 7 安裝mysql伺服器

  1. 下載mysql源安裝包: wget http://dev.mysql.com/get/mysql57-community-release-el7-8.noarch.rpm 2. 安裝mysql源: yum localinstall mysql57-communit

阿里centos 7 安裝 mysql 8 navicat連線不上問題解決

伺服器上安裝的MySQL服務,一般都會用Navicat做日常資料庫的使用工具。今天在阿里雲上安裝MySQL8,但是Navicat始終連線不上,試了網上很多方法都沒用,以下記錄一些關鍵的地方。1.阿里雲要新增安全規則即使伺服器防火牆已經開放了3306埠,或者關掉了防火牆,還需要

阿里(centOS 7)安裝apache

安裝 apache: # yum install httpd httpd-devel  # service httpd start  防火牆中開啟 80 埠:  # firewall-cmd --zone=public --add-port=80/tcp --perman

阿里Centos 7.2 安裝apache踩的坑

./configure --prefix=/usr/local/apache2 Centos安裝 Apache2.4提示 APR not found的解決辦法: 1.下載所需軟體包: 具體步驟如下: 1、:解決apr not foun

Nginx(一)安裝 【阿里 CentOS 7 yum安裝 】

目錄 新增Nginx到YUM源 新增CentOS 7 Nginx yum資源庫,開啟終端,使用以下命令: # sudo rpm -Uvh http://nginx.org/packages/centos/7/noarch/RPMS/nginx