【基线加固】Centos7等保二级基线加固（主机安全基线）

1、 确保配置了bootloader配置的权限

chown root:root /boot/grub2/grub.cfg
chmod og-rwx /boot/grub2/grub.cfg

2、 确保设置了引导程序密码

使用以下命令创建加密的密码grub2-setpassword：

grub2-setpassword
Enter password:
Confirm password:

3、 确保单用户模式需要身份验证

编辑/usr/lib/systemd/system/rescue.service 及/usr/lib/systemd/system/emergency.service 设置ExecStart

ExecStart=-/bin/sh -c "/sbin/sulogin; /usr/bin/systemctl --fail --no-block default"

4、 确保核心转储受到限制

将以下行添加到/etc/security/limits.conf或/etc/security/limits.d/*文件中：

* hard core 0

在/etc/sysctl.conf或/etc/sysctl.d/*文件中设置以下参数：

fs.suid_dumpable = 0

运行以下命令来设置活动内核参数

sysctl -w fs.suid_dumpable=0

5、 确保启用了地址空间布局随机化（ASLR）

在/etc/sysctl.conf或/etc/sysctl.d/*文件中设置以下参数：

kernel.randomize_va_space = 2

运行以下命令来设置内核参数：

sysctl -w kernel.randomize_va_space=2

6、 确保已配置SSH空闲超时间隔

编辑/etc/ssh/sshd_config文件以设置参数：

ClientAliveInterval 300
ClientAliveCountMax 0

7、 确保SSH MaxAuthTries设置为4或更低

编辑/etc/ssh/sshd_config文件以设置参数，如下所示：

 MaxAuthTries 4

8、 确保已禁用SSH空密码登录

编辑/etc/ssh/sshd_config文件以设置参数：

 PermitEmptyPasswords no

9、 确保配置了密码尝试失败的锁定

编辑/etc/pam.d/password-auth 和/etc/pam.d/system-auth 文件：

auth required pam_faillock.so preauth audit silent deny=5 unlock_time=900
auth [success=1 default=bad] pam_unix.so
auth [default=die] pam_faillock.so authfail audit deny=5 unlock_time=900
auth sufficient pam_faillock.so authsucc audit deny=5 unlock_time=900

10、 确保默认用户umask限制为027或更高

编辑/etc/bash.bashrc、/etc/profile和/etc/profile.d/*.sh文件（以及系统上支持的任何其他Shell的适当文件），并添加或编辑umask参数，如下所示：

备注(修复完后运行以下命令以确保是否已完全修复）

grep "umask" /etc/bashrc
grep "umask" /etc/profile
grep "umask" /etc/profile.d/*.sh