专栏首页WalkingCloud【CentOS7操作系统安全加固】第(2)篇

【CentOS7操作系统安全加固】第(2)篇

1、口令重复次数限制

规则描述:重新启用某个旧密码,要确保此密码在继上次使用后已被修改过几次。此策略是管理员能够通过确保旧密码不被连续重新使用来增强安全性

审计描述:检查文件/etc/pam.d/system-auth和文件/etc/pam.d/password-auth是否存在如下配置:password sufficient pam_unix.so remember=5 或password required pam_pwhistory.so remember=5 其中remember选项大于等于5

修改建议:编辑配置文件/etc/pam.d/system-auth和文件/etc/pam.d/password-auth修改或添加配置:password sufficient pam_unix.so remember=5 或password required pam_pwhistory.so remember=5 备注:使用remember=5配置覆盖原有模块配置

实际解决方法:编辑配置文件/etc/pam.d/system-auth和文件/etc/pam.d/password-auth修改或添加如下配置

password    required      pam_pwhistory.so use_authtok remember=5

2、文件与目录缺省权限控制

规则描述:该设置确定新创建的目录和文件的默认权限

审计描述:检查/etc/profile, /etc/profile.d/.sh, /etc/bashrc的umask配置为027(或者0027)

修改建议:设置/etc/profile /etc/profile.d/.sh、/etc/bashrc文件中的umask配置为027(或者0027)

umask值含义:当用户新创建文件或目录时,该文件或目录具有一个缺省权限。该缺省权限由umask值来指定。umask值代表的是权限的“补码”,即用缺省最大权限值减去umask值得到实际权限值。

文件的缺省最大权限为可读可写,目录的缺省最大权限为可读可写可执行。

即一个文件的实际缺省权限为666减去umask值。目录的实际缺省权限为777减去umask值

解决方法

sed -i 's/umask 022/umask 027/g' /etc/profile
sed -i 's/umask 022/umask 027/g' /etc/bashrc

修改前

修改后

3、配置用户最小授权

规则描述:检查文件/etc/passwd、/etc/shadow、/etc/group、/etc/services、/etc/xinetd.conf和目录/etc/security的权限

审计描述:检查文件/etc/passwd、/etc/group、/etc/services的权限是否小于或等于644,检查文件/etc/shadow的权限是否小于或等于400,检查/etc/xinetd.conf文件、/etc/security目录权限是否小于等于600,检查以上文件及目录的属主和属组是否均为root:root

修改建议:设置文件/etc/passwd、/etc/group、/etc/services的权限为0644,设置文件/etc/shadow的权限为0400,设置文件/etc/xinetd.conf、目录/etc/security的权限为0600,

例如执行:chmod 600 /etc/passwd。设置以上文件及目录的属主和属组为root:root,例如执行:chown root:root /etc/passwd

检测用例信息:{ "checkDescription": "在目录/etc/security存在时,检查文件的权限,不存在则pass: stat --format="%U:%G %a" /etc/security 2>/dev/null", "current_value": "/etc/security root:root 0755", "suggest_value": "文件不存在或者/etc/security root:root 600(或者更严格)" }

解决过程

stat --format="%U:%G %a" /etc/passwd
stat --format="%U:%G %a" /etc/shadow
ll /etc/shadow 
stat --format="%U:%G %a" /etc/group
stat --format="%U:%G %a" /etc/services
stat --format="%U:%G %a" /etc/security
 
chmod 600 /etc/security
stat --format="%U:%G %a" /etc/security

4、修改SSH的Banner警告信息

规则描述:检查ssh服务状态,若不开启则pass,若开启则检查是否设置ssh登录告警信息,设置则pass

审计描述:检查ssh服务状态,若不开启则pass,若开启则检查/etc/ssh/sshd_config文件,是否配置Banner,获取其路径文件,检查该文件是否不为空,不为空则pass

修改建议:如果ssh服务不需要,需要关闭该服务。如果需要ssh服务,则需要配置/etc/ssh/sshd_config文件中Banner,并在对应的路径文件中配置警告标示:Authorized users only. All activity may be monitored and reported.

[root@VM_Server ~]# grep "^\s*Banner\s*" /etc/ssh/sshd_config 2>/dev/null | awk '{print $2}'
[root@VM_Server ~]# grep "Banner*" /etc/ssh/sshd_config 2>/dev/null | awk '{print $2}'       
none
[root@VM_Server ~]# grep "Banner*" /etc/ssh/sshd_config 2>/dev/null 
#Banner none
[root@VM_Server ~]# sed -i "s/#Banner none/Banner \/etc\/issue.net/g" /etc/ssh/sshd_config
[root@VM_Server ~]# echo "Authorized users only. All activity may be monitored and reported.">/etc/issue.net
[root@VM_Server ~]# service sshd restart

5、设置关键文件的属性

规则描述:检查/var/log/messages文件是否存在a属性

审计描述:检查/var/log/messages文件是否存在a属性:lsattr /var/log/messages | cut -b 6

修改建议:使用命令更改该日志文件属性:chattr +a /var/log/messages

lsattr /var/log/messages
lsattr /var/log/messages | cut -b 6
chattr +a /var/log/messages
lsattr /var/log/messages | cut -b 6

本文分享自微信公众号 - WalkingCloud(WalkingCloud2018),作者:yuanfan2012

原文出处及转载信息见文内详细说明,如有侵权,请联系 yunjia_community@tencent.com 删除。

原始发表时间:2020-11-08

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

我来说两句

0 条评论
登录 后参与评论

相关文章

  • 【CentOS7操作系统安全加固系列】第(4)篇

    规则描述:MaxAuthTries参数指定每个连接允许的最大验证尝试次数。当登录失败次数达到设置的一半时,错误消息将被写入syslog文件详细记录登录失败。

    yuanfan2012
  • CentOS6下/etc/fstab文件配置错误导致系统启动异常的处理方法

    Linux系统里的/etc/fstab文件主要用于保存服务器的磁盘挂载信息,如果该配置文件中写入不正确的挂载信息或者该文件自身存在访问错误(权限配置、文件丢失等...

    yuanfan2012
  • 【CentOS7操作系统安全加固系列】第(1)篇

    规则描述:设置口令认证失败后的锁定策略 为了保障用户系统的安全,建议用户设置口令出错次数的阈值,以及由于口令尝试被锁定用户的自动解锁时间。用户锁定期间,任何输入...

    yuanfan2012
  • Facebook开源的数据Mock:Memisis详解

    Criss@陈磊
  • Linux之day7 打包压缩与搜索命令

    心跳包
  • Ubuntu系统微调

    本章讲述了基本的基于命令行界面的系统配置方法。在学习本章前,你需要先阅读 Ubuntu 系统安装提示, 第 3 章.

    一见
  • 企业架构规划及服务器优化参数

    第1章 企业架构规划 1.1 架构图 ? 1.1.1 用户访问网站组成 类型 作用 实现方式 顾客-用户 访问网站的人员 ...

    惨绿少年
  • Linux系统部分主要目录或文件汇总

    醉生萌死
  • 【基线加固】Centos7等保二级基线加固(主机安全基线)

    编辑/usr/lib/systemd/system/rescue.service 及/usr/lib/systemd/system/emergency.serv...

    腾讯云-MSS服务
  • linux系统重要子目录介绍

    昨天介绍了系统根目录下的结构与一级目录的作用,今天来看一看系统一些重要的需要去了解的目录

    民工哥

扫码关注云+社区

领取腾讯云代金券