CentOS Linux 常见标准安全基线设置

操作系统在默认情况下存在一些安全风险,尤其生产线上的系统,必须对系统基线进行巩固,否则不知什么时候就被人黑了。本文讲述一些最基本的安全基线巩固建议,希望对大家有帮助。

入侵防范

开启地址空间布局随机化

描述

它将进程的内存空间地址随机化来增大入侵者预测目的地址难度,从而降低进程被成功入侵的风险。

加固建议

执行命令:

sysctl -w kernel.randomize_va_space=2

身份鉴别

确保root是唯一的UID为0的帐户

描述

UID为0的用户只能是root。

加固建议

除root以外其他UID为0的用户都应该删除,或者为其分配新的UID。

cat /etc/passwd | awk -F: '($3 == 0) { print $1 }'|grep -v '^root$'

密码复杂度检查

描述

检查密码长度和密码是否使用多种字符类型。

加固建议

vim /etc/security/pwquality.conf

minlen=12
minclass=3

设置密码失效时间

描述

设置密码失效时间,强制定期修改密码,减少密码被泄漏和猜测风险,使用非密码登陆方式(如密钥对)请忽略此项。

加固建议

使用非密码登陆方式如密钥对,请忽略此项。

vim /etc/login.defs

PASS_MAX_DAYS 90

同时需要执行命令:

chage --maxdays 90 root

设置密码修改最小间隔时间

描述

设置密码修改最小间隔时间,限制密码更改过于频繁。

加固建议

vim /etc/login.defs

PASS_MIN_DAYS 7

同时需要执行命令:

chage --mindays 7 root

检查密码重用是否受限制

描述

强制用户不重用最近使用的密码,降低密码猜测攻击风险。

加固建议

在 /etc/pam.d/password-auth 和 /etc/pam.d/system-auth 中找到 password sufficient pam_unix.so,并在该行末尾添加参数:

remember=5 #5~24

服务配置

确保SSH MaxAuthTries设置为3到6之间

描述

设置较低的 Max AuthTrimes 参数将降低SSH服务器被暴力攻击成功的风险。

加固建议

vim /etc/ssh/sshd_config

MaxAuthTries 3

SSHD强制使用V2安全协议

描述

SSHD强制使用V2安全协议。

加固建议

vim /etc/ssh/sshd_config

Protocol 2

设置SSH空闲超时退出时间

描述

设置SSH空闲超时退出时间,可降低未授权用户访问其他用户ssh会话的风险。

加固建议

vim /etc/ssh/sshd_config

ClientAliveInterval 900
ClientAliveCountMax 3

确保SSH LogLevel设置为INFO

描述

确保 SSH LogLevel 设置为 INFO,记录登录和注销活动。

加固建议

vim /etc/ssh/sshd_config

LogLevel INFO
赞 (0) 打赏

评论 0

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址

感谢您的支持与帮助

支付宝扫一扫打赏

微信扫一扫打赏