安全 CentOS Linux7 8安全建議。

2021-10-10 05:48:49 字數 2787 閱讀 7987

若系統使用弱口令,存在極大的被惡意猜解入侵風險,需立即修復。

執行命令passwd,然後根據提示輸入新口令完成修改,其中為使用者名稱,如果不輸入則修改的是當前使用者的口令。口令應符合複雜性要求:

1、長度8位以上


2、包含以下四類字元中的三類字元:


英文大寫字母(a 到 z)


英文小寫字母(a 到 z)


10 個基本數字(0 到 9)


非字母字元(例如 !、$、#、%、@、^、&)


3、避免使用已公開的弱口令,如:abcd.1234 、admin@123等
檢查系統空密碼賬戶

為使用者設定乙個非空密碼,或者執行passwd -l鎖定使用者

禁止ssh空密碼使用者登入

編輯檔案/etc/ssh/sshd_config,將permitemptypasswords配置為no:

permitemptypasswords no
設定密碼失效時間,強制定期修改密碼,減少密碼被洩漏和猜測風險,使用非密碼登陸方式(如金鑰對)請忽略此項。

使用非密碼登陸方式如金鑰對,請忽略此項。/etc/login.defs中將 pass_max_days 引數設定為 60-180之間,如:

pass_max_days 90
chage --maxdays 90 root
設定密碼修改最小間隔時間,限制密碼更改過於頻繁

在 /etc/login.defs 中將 pass_min_days 引數設定為7-14之間,建議為7:

pass_min_days 7
需同時執行命令為root使用者設定:

chage --mindays 7 root
確保密碼到期警告天數為7或更多

在 /etc/login.defs 中將 pass_warn_age 引數設定為7-14之間,建議為7:

pass_warn_age 7
同時執行命令使root使用者設定生效:

chage --warndays 7 root
設定較低的max authtrimes引數將降低ssh伺服器被暴力攻擊成功的風險。

在/etc/ssh/sshd_config中取消maxauthtries注釋符號#,設定最大密碼嘗試失敗次數3-6,建議為4:

maxauthtries 4
設定ssh空閒超時退出時間,可降低未授權使用者訪問其他使用者ssh會話的風險

clientaliveinterval 600


clientalivecountmax 2
確保rsyslog服務已啟用,記錄日誌用於審計

執行以下命令啟用rsyslog服務:

systemctl enable rsyslog


systemctl start rsyslog
確保ssh loglevel設定為info,記錄登入和登出活動

編輯 /etc/ssh/sshd_config 檔案以按如下方式設定引數(取消注釋):

loglevel info
訪問控制配置檔案的許可權設定

執行以下4條命令:

chown root:root /etc/hosts.allow 


chown root:root /etc/hosts.deny 


chmod 644 /etc/hosts.deny


chmod 644 /etc/hosts.allow
設定使用者許可權配置檔案的許可權

執行以下5條命令

chown root:root /etc/passwd /etc/shadow /etc/group /etc/gshadow


chmod 0644 /etc/group  


chmod 0644 /etc/passwd  


chmod 0400 /etc/shadow  


chmod 0400 /etc/gshadow
它將程序的記憶體空間位址隨機化來增大入侵者**目的位址難度,從而降低程序被成功入侵的風險

在/etc/sysctl.conf或/etc/sysctl.d/*檔案中設定以下引數:kernel.randomize_va_space = 2執行命令: 

sysctl -w kernel.randomize_va_space=2
除root以外其他uid為0的使用者都應該刪除,或者為其分配新的uid

除root以外其他uid為0的使用者(檢視命令cat /etc/passwd | awk -f: '($3 == 0) '|grep -v '^root$')都應該刪除,或者為其分配新的uid

檢查密碼長度和密碼是否使用多種字元型別

minlen=10


minclass=3
強制使用者不重用最近使用的密碼,降低密碼猜測攻擊風險

在/etc/pam.d/password-auth和/etc/pam.d/system-auth中password sufficient pam_unix.so 這行的末尾配置remember引數為5-24之間,原來的內容不用更改,只在末尾加了remember=5。

CentOS Linux 7安全基線檢查

描述 若系統使用弱口令,存在極大的被惡意猜解入侵風險,需立即修復。加固建議 將弱密碼修改複雜密碼,應符合複雜性要求 1 長度8位以上 2 包含以下四類字元中的三類字元 英文大寫字母 a 到 z 英文小寫字母 a 到 z 10 個基本數字 0 到 9 非字母字元 例如 3 避免使用已公開的弱密碼,如 ...

拓建雲安全生態,騰訊安全將與青藤雲安全達成戰略合作

剛剛完成新一輪組織架構變革的騰訊,近期又有新動作。據悉,為進一步拓建騰訊雲安全生態,騰訊安全或將在月底程式設計客棧與青藤雲安全達成戰略合作,雙方將共同研發主機安全產品,並借助騰訊雲服務生態,為行業客戶提供主機安全系統解決方案。近年來,網路安全問題日益凸顯,安全事件頻發給給企業運營帶來了極大挑戰。20...

搜狐吳建強 企業資訊保安實踐

本文是wot2016網際網路運維與開發者大會的現場乾貨,新一屆主題為wot2016企業安全技術峰會將在2016年6月24日 25日於北京珠三角jw萬豪酒店隆重召開!嘉賓簡介 wot2016網際網路運維與開發者大會的運維安全專場的演講中,吳建強做了主題為 企業資訊保安實踐 的精彩演講,他從不斷演繹的安...