Linux 常用安全基線配置匯總
作者:尼古拉斯李
今天我們將匯總一下常用的安全基線配置,從而加強你們企業主機安全防護。
今天匯總一下常用的安全基線配置,加強你們企業主機安全防護。
1. root賬戶遠程登錄限制
如果配置這個,至少需要有一個可登錄的普通用戶
vi /etc/ssh/sshd_config
將PermitRootLogin yes改為PermitRootLogin no
systemctl restart sshd2. 設置口令生存周期
最大口令過期時間設置為小于或等于90天;
# 修改前備份
cp /etc/login.defs /etc/login.defs.bak
# 修改配置
vim /etc/login.defs
# 修改下面的內容
PASS_MAX_DAYS 90 # 密碼最大過期時間,不大于90則合規
PASS_MIN_DAYS 7 # 口令更改最小間隔天數應大于等于7
PASS_WARN_AGE 7 # 口令過期警告提前天數
3. 設置密碼復雜度策略
一般需要包括數字大小寫,八位以上:
# 修改前備份
cp /etc/pam.d/system-auth /etc/pam.d/system-auth.bak
# 修改配置
vim /etc/pam.d/system-auth
# 沒有則新增
password requisite pam_cracklib.so try_first_pass retry=3 minlen=8 dcredit=-1 ucredit=-1 ocredit=-1 lcredit=-1配置參數說明:
# 配置說明
retry= 3 # 在返回失敗前允許3次嘗試。
minlen = 8 # 密碼必須是8個字符或更多
dcredit = - 1 # 提供至少1位數字
ucredit = - 1 # 提供至少一個大寫字符
ocredit = - 1 # 提供至少一個特殊字符
lcredit = - 1 # 提供至少一個小寫字符4. 配置賬戶認證失敗次數限制
vim /etc/pam.d/system-auth
# 增加如下內容:輸入錯誤5次,鎖定180s
auth required pam_tally2.so deny=5 notallow=fail no_magic_root unlock_time=180
account required pam_tally2.so
5. 禁止wheel組之外的用戶su為root
只允許wheel組的用戶才能su為root則合規,禁止任何人切換root;
# 修改前備份
cp /etc/pam.d/su /etc/pam.d/su_bak
vim /etc/pam.d/su
# 添加
auth sufficient pam_rootok.so
auth required pam_wheel.so use_uid
# 將允許su的用戶加入wheel組
usermod -G wheel $username
6. 歷史命令設置
保證bash shell保存少量的(或不保存)命令,保存較少的命令條數,減少安全隱患,并設置時間戳;
vim /etc/profile
# 修改下面配置,沒有則新增
# 設置歷史命令時間戳
export HISTTIMEFORMAT="%F %T "
#
HISTFILESIZE=5
HISTSIZE=50 # 保留歷史命令條數,默認是1000條7. 重要文件權限配置
chmod 644 /etc/passwd
chmod 644 /etc/group
chmod 400 /etc/shadow
chmod 400 /etc/gshadow8. 日志審計
確保rsyslog服務已啟用,記錄日志用于審計:
systemctl enable rsyslog
systemctl start rsyslog安全基線配置有很多,不同的等保級別要求的基線不一樣。以上都是比較常用的基線配置,在企業中,還需要根據安全部門提供的比較詳細的基線來配置。
【溫馨提示】做安全基線時已經要做好文件的備份,如果條件允許,先在測試環境上操作,避免修改后無法登錄系統。
責任編輯:趙寧寧
來源:
運維李哥不背鍋
