S-安全基线-CentOS Linux 7/8_ssh maxauth-程序员宅基地

技术标签: 蓝队  linux  运维类  安全类  安全加固  

高检查系统空密码账户 | 身份鉴别
描述检查系统空密码账户
检查提示--
加固建议为用户设置一个非空密码,或者执行passwd -l <username>锁定用户
操作时建议做好记录或备份
高禁止SSH空密码用户登录 | SSH服务配置
描述禁止SSH空密码用户登录
检查提示--
加固建议编辑文件/etc/ssh/sshd_config,将PermitEmptyPasswords配置为no:PermitEmptyPasswords no
操作时建议做好记录或备份
高设置密码失效时间 | 身份鉴别
描述设置密码失效时间,强制定期修改密码,减少密码被泄漏和猜测风险,使用非密码登陆方式(如密钥对)请忽略此项。
检查提示--
加固建议使用非密码登陆方式如密钥对,请忽略此项。在 /etc/login.defs中将 PASS_MAX_DAYS 参数设置为 60-180之间,如:PASS_MAX_DAYS 90需同时执行命令设置root密码失效时间:chage --maxdays 90 root

操作时建议做好记录或备份
高设置密码修改最小间隔时间 | 身份鉴别
描述设置密码修改最小间隔时间,限制密码更改过于频繁
检查提示--
加固建议在 /etc/login.defs 中将 PASS_MIN_DAYS 参数设置为7-14之间,建议为7:PASS_MIN_DAYS 7需同时执行命令为root用户设置:chage --mindays 7 root

操作时建议做好记录或备份

高设置密码修改最小间隔时间 | 身份鉴别
描述设置密码修改最小间隔时间,限制密码更改过于频繁
检查提示--
加固建议在 /etc/login.defs 中将 PASS_MIN_DAYS 参数设置为7-14之间,建议为7:PASS_MIN_DAYS 7需同时执行命令为root用户设置:chage --mindays 7 root

操作时建议做好记录或备份
高确保密码到期警告天数为7或更多 | 身份鉴别
描述确保密码到期警告天数为7或更多
检查提示--
加固建议在 /etc/login.defs 中将 PASS_WARN_AGE 参数设置为7-14之间,建议为7:PASS_WARN_AGE 7同时执行命令使root用户设置生效:chage --warndays 7 root

操作时建议做好记录或备份
高确保SSH MaxAuthTries设置为3到6之间 | SSH服务配置
描述设置较低的Max AuthTrimes参数将降低SSH服务器被暴力攻击成功的风险。
检查提示--
加固建议在/etc/ssh/sshd_config中取消MaxAuthTries注释符号#,设置最大密码尝试失败次数3-6,建议为4:MaxAuthTries 4

操作时建议做好记录或备份
高设置SSH空闲超时退出时间 | 服务配置

`描述设置SSH空闲超时退出时间,可降低未授权用户访问其他用户ssh会话的风险
检查提示–
加固建议编辑/etc/ssh/sshd_config,将ClientAliveInterval 设置为300到900,即5-15分钟,将ClientAliveCountMax设置为0-3之间。ClientAliveInterval 600
ClientAliveCountMax 2

操作时建议做好记录或备份`

高确保rsyslog服务已启用 | 安全审计
描述确保rsyslog服务已启用,记录日志用于审计
检查提示--
加固建议运行以下命令启用rsyslog服务:systemctl enable rsyslog
systemctl start rsyslog

操作时建议做好记录或备份
高确保SSH LogLevel设置为INFO | 服务配置
描述确保SSH LogLevel设置为INFO,记录登录和注销活动
检查提示--
加固建议编辑 /etc/ssh/sshd_config 文件以按如下方式设置参数(取消注释):LogLevel INFO

操作时建议做好记录或备份

高访问控制配置文件的权限设置 | 文件权限
描述访问控制配置文件的权限设置
检查提示--
加固建议运行以下4条命令:chown root:root /etc/hosts.allow 
chown root:root /etc/hosts.deny 
chmod 644 /etc/hosts.deny
chmod 644 /etc/hosts.allow

操作时建议做好记录或备份
高访问控制配置文件的权限设置 | 文件权限
描述访问控制配置文件的权限设置
检查提示--
加固建议运行以下4条命令:chown root:root /etc/hosts.allow 
chown root:root /etc/hosts.deny 
chmod 644 /etc/hosts.deny
chmod 644 /etc/hosts.allow

操作时建议做好记录或备份
高设置用户权限配置文件的权限 | 文件权限

`描述设置用户权限配置文件的权限
检查提示–
加固建议执行以下5条命令chown root:root /etc/passwd /etc/shadow /etc/group /etc/gshadow
chmod 0644 /etc/group
chmod 0644 /etc/passwd
chmod 0400 /etc/shadow
chmod 0400 /etc/gshadow

操作时建议做好记录或备份
`

高开启地址空间布局随机化 | 入侵防范
描述它将进程的内存空间地址随机化来增大入侵者预测目的地址难度,从而降低进程被成功入侵的风险
检查提示--
加固建议在/etc/sysctl.conf或/etc/sysctl.d/*文件中设置以下参数: kernel.randomize_va_space = 2 执行命令: sysctl -w kernel.randomize_va_space=2

操作时建议做好记录或备份
高确保root是唯一的UID为0的帐户 | 身份鉴别
描述除root以外其他UID为0的用户都应该删除,或者为其分配新的UID
检查提示--
加固建议除root以外其他UID为0的用户(查看命令cat /etc/passwd | awk -F: '($3 == 0) { print $1 }'|grep -v '^root$')都应该删除,或者为其分配新的UID

操作时建议做好记录或备份
高密码复杂度检查 | 身份鉴别
描述检查密码长度和密码是否使用多种字符类型
检查提示--
加固建议编辑/etc/security/pwquality.conf,把minlen(密码最小长度)设置为8-32位,把minclass(至少包含小写字母、大写字母、数字、特殊字符等4类字符中等3类或4类)设置为3或4。如:minlen=10
minclass=3

操作时建议做好记录或备份
高检查密码重用是否受限制 | 身份鉴别
描述强制用户不重用最近使用的密码,降低密码猜测攻击风险
检查提示--
加固建议在/etc/pam.d/password-auth和/etc/pam.d/system-auth中password sufficient pam_unix.so 这行的末尾配置remember参数为5-24之间,原来的内容不用更改,只在末尾加了remember=5。

操作时建议做好记录或备份
高系统登录弱口令 | 身份鉴别
描述若系统使用弱口令,存在极大的被恶意猜解入侵风险,需立即修复。
检查提示--
加固建议执行命令passwd [<user>],然后根据提示输入新口令完成修改,其中<user>为用户名,如果不输入则修改的是当前用户的口令。口令应符合复杂性要求:1、长度8位以上
2、包含以下四类字符中的三类字符:
英文大写字母(A 到 Z)
英文小写字母(a 到 z)
10 个基本数字(0 到 9)
非字母字符(例如 !、$、#、%、@、^、&)
3、避免使用已公开的弱口令,如:abcd.1234 、admin@123等

操作时建议做好记录或备份
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_21193587/article/details/117465460

智能推荐

DDR3基本概念1 - 存储单元结构和原理_sense amplifier-程序员宅基地

文章浏览阅读1.8k次。一个基本存储单元结构图如下图, storage capacitor为一个基本存储单元,当access transitor被选通时,可读可写: 一个4行3列的DDR 存储器如下图所示: 上图中蓝色的为bit line。相邻行的对应bit的bit line之间有一个两个反相器首尾相连的sense amplifier。红色的为word line,连接了同一行的所有的存储电容的transistor的栅极。 DDR..._sense amplifier

著名游戏"植物大战僵尸",从0到1亿美元 ---- PopCap创始人自述_com.popcap.samguo-程序员宅基地

文章浏览阅读844次。PopCap是哪家公司我就不介绍了,如果没有玩过他们的游戏,可以说你没有玩儿过PC游戏 8 )比较震惊的是他所说的最后一句话:“我们始终有一个信念,那就是一定要做出顶尖游戏,那样才能赚到大钱,如果一个游戏只是勉强可玩,那就一分钱也赚不到。” 可以类推到我们所做的其他产品。记得小时候,我有个舅爷,正月卖灯笼,7几年的时候,那种用纸扎的小羊灯笼,底下四个轮子,我们一帮小屁孩拉着可以到处跑的灯笼。但我舅爷的小羊轮子不能转,他说没事,别人卖1块5,我卖1块就可以了。结果。_com.popcap.samguo

spring boot 异常处理_serverproperties getservletprefix() springboot 2.0-程序员宅基地

文章浏览阅读4.9k次。spring boot在异常的处理中,默认实现了一个EmbeddedServletContainerCustomizer并定义了一个错误页面到”/error”中,在ErrorMvcAutoConfiguration源码中可以看到/** * {@link EmbeddedServletContainerCustomizer} that configures the container's error_serverproperties getservletprefix() springboot 2.0

jQuery实现页面滑动时导航背景色切换_jquery仿导航栏向下滑动导航栏变色-程序员宅基地

文章浏览阅读774次,点赞2次,收藏2次。<script type="text/javascript" src="./files-m/jquery-1.9.1.min.js"></script><script >//网页加载时运行$(function(){ navHeader(); $(window).scroll(function () { navHeader(); }) function navHeader() { if ($(windo_jquery仿导航栏向下滑动导航栏变色

错用mybatis映射文件#和$导致的问题_mybatis #{list.size} 预编译失败-程序员宅基地

文章浏览阅读254次。如下Mapper.xml文件:<?xml version="1.0" encoding="UTF-8" ?><!DOCTYPE mapper PUBLIC "-//mybatis.org//DTD Mapper 3.0//EN" "http://mybatis.org/dtd/mybatis-3-mapper.dtd" ><mapper namespace="c..._mybatis #{list.size} 预编译失败

rust-lldb调试Rust程序-程序员宅基地

文章浏览阅读1.2k次。rust-lldb如何调试带有选项的程序# rust-lldb -- target/debug/racon --root /opt/run/racon run 2333 --bundle /opt/mycontainer/很简单只需要在rust-lldb与程序之间添加 --_lldb调试rust

随便推点

Visual Studio各版本区别-程序员宅基地

文章浏览阅读119次。Visual Studio 是微软公司推出的开发环境,Visual Studio 可以用来创建 Windows 平台下的 Windows 应用程序和网络应用程序,也可以用来创建网络服务、智能设备应用程序和 Office 插件。V.S.2012  .1、VS2012和VS2010相比,最大的新特性莫过于对Windows 8 Metro开发的支持。Metro天生为云+端而生,简洁、数..._visual studio 各个版本的区别

列表排序-程序员宅基地

文章浏览阅读41次。原理:  1、用rows方法获取到所有的行并放进Array里,不能用for..in的方式获取,因为for..in会获取所有rows方法相关的参数。  2、用sort方法或其他排序方法Function参数进行排序。  3、创建Fragment元素,append方法会将所有原table内容转移至Fragment元素内。  4、table元素加载Fragment。..._"排序\">"

【论文摘要】基于多数投票模式和超混沌加密的彩色图像鲁棒安全零水印算法_多数投票机制 水印-程序员宅基地

文章浏览阅读1.8k次。Robust and secure zero-watermarking algorithm for color images based on majority voting pattern and hyper-chaotic encryption标题:基于多数投票模式和超混沌加密的彩色图像鲁棒安全零水印算法作者:Xiao-bing Kang,Guang-feng Lin,Ya-jun Chen,Fan Zhao,Er-hu Zhang,Cui-ning Jing发布年份:2019摘要:鲁棒零水_多数投票机制 水印

Windows下用anaconda装python,添加jupyter的kernel以及装包_jupyter kernel没有安装包但可以用-程序员宅基地

文章浏览阅读5.1k次。环境:Windows 7 主要问题: 1. 先在anaconda官网上下载了python3+的版本,其他人安装时一般先安装python2再安装python3,没有相关经验可供参考;2. 安装anaconda时选了非默认路径(C盘某处),安装在D盘下,为后来的cmd调用命令造成了困难,无法用cd更换路径解决;3. 安装完python2的jupyter notebook的kernel时_jupyter kernel没有安装包但可以用

即将上线主网的Telegram区块链和Libra,谁的野心更大?-程序员宅基地

文章浏览阅读391次。两者在穿越两年之后十分戏剧化地 “会面” 了。文 | 芦荟 运营 | 盖遥编辑| 卢晓明出品|Odaily星球日报(ID:o-daily)继 Facebook..._fiftusdt

C++基础三_设有一组结点,其权值w={1,4,9,16,25,36,49,64,81,100},画出由这些结点所-程序员宅基地

文章浏览阅读189次。C++基础学习三对象的构造和析构构造函数和析构函数构造函数语法:析构函数语法:构造函数的分类及调用匿名拷贝构造函数(错误)拷贝构造函数的调用时机构造函数调用规则深拷贝和浅拷贝浅拷贝深拷贝多个对象构造和析构初始化列表类对象作为成员explicit关键字动态对象创建对象创建C动态分配内存(隐患)newdelete用于数组的new和delete使用new和delete采用相同形式delete void*..._设有一组结点,其权值w={1,4,9,16,25,36,49,64,81,100},画出由这些结点所构成