专栏首页WalkingCloud腾讯云主机安全【等保三级】CentOS7安全基线检查策略
原创

腾讯云主机安全【等保三级】CentOS7安全基线检查策略

最近试用了一下腾讯云主机主机安全的基线检查功能

(图片可放大查看)

(图片可放大查看)

(图片可放大查看)

梳理了(Copy+C/Copy+V)一下腾讯云主机安全——【等保三级】CentOS7安全基线检查策略

一、未通过项17项

1. 确保配置了密码尝试失败的锁定

处理建议 (处理时请先做备份) 

编辑/etc/pam.d/password-auth 和/etc/pam.d/system-auth 文件,以符合本地站点策略:

auth required pam_faillock.so preauth audit silent deny=5 unlock_time=900 
auth [success=1 default=bad] pam_unix.so 
auth [default=die] pam_faillock.so authfail audit deny=5 unlock_time=900 
auth sufficient pam_faillock.so authsucc audit deny=5 unlock_time=900

2. 确保默认用户umask限制为027或更高

处理建议 (处理时请先做备份)

编辑/etc/bash.bashrc、/etc/profile和/etc/profile.d/*.sh文件(以及系统上支持的任何其他Shell的适当文件),并添加或编辑umask参数,

如下所示:

umask 027 备注(修复完后运行以下命令以确保是否已完全修复 
grep "umask" /etc/bashrc 
grep "umask" /etc/profile 
grep "umask" /etc/profile.d/*.sh
 如果umask 配置不为027的,需全部修改为027或更严格)

3. 确保默认用户shell超时为900秒或更短

处理建议 (处理时请先做备份) 

编辑/etc/bashrc和/etc/profile文件(以及系统上支持的任何其他Shell的适当文件),并添加或编辑任何umask参数,如下所示:

TMOUT=600

4. 确保配置了bootloader配置的权限

处理建议 (处理时请先做备份)

运行以下命令来设置对grub配置的权限:

# chown root:root /boot/grub2/grub.cfg 
# chmod og-rwx /boot/grub2/grub.cfg 
# chown root:root /boot/grub2/user.cfg 
# chmod og-rwx /boot/grub2/user.cfg

5. 确保设置了引导程序密码

处理建议 (处理时请先做备份)

使用以下命令创建加密的密码grub2-setpassword:

# grub2-setpassword 
Enter password: <password> 
Confirm password: <password>

6. 确保核心转储受到限制

处理建议 (处理时请先做备份)

将以下行添加到/etc/security/limits.conf或/etc/security/limits.d/*文件中:
  * hard core 0 
在/etc/sysctl.conf或/etc/sysctl.d/*文件中设置以下参数: 
  fs.suid_dumpable = 0 
运行以下命令来设置活动内核参数: 
# sysctl -w fs.suid_dumpable=0

7. 确保启用了地址空间布局随机化(ASLR)

处理建议 (处理时请先做备份)

在/etc/sysctl.conf或/etc/sysctl.d/*文件中设置以下参数:
  kernel.randomize_va_space = 2 
运行以下命令来设置内核参数:
  # sysctl -w kernel.randomize_va_space=2

8. 确保审核日志不会自动删除

处理建议 (处理时请先做备份) 

在/etc/audit/auditd.conf中设置以下参数 :

  max_log_file_action = keep_logs

9. 确保系统管理范围(sudoers)更改的收集

处理建议 (处理时请先做备份) 

将以下行添加到/etc/audit/rules.d/audit.rules和/etc/audit/audit.rules 文件中:

-w /etc/sudoers -p wa -k scope 
-w /etc/sudoers.d/ -p wa -k scope 
重启auditd:service auditd restart

10. 确保收集了系统管理员操作(sudolog)

处理建议 (处理时请先做备份) 

将以下行添加到/etc/audit/rules.d/audit.rules和/etc/audit/audit.rules 文件中:

-w /var/log/sudo.log -p wa -k actions 
重启auditd:service auditd restart

11. 确保审核配置是不变的

处理建议 (处理时请先做备份)

将以下行添加到/etc/audit/rules.d/audit.rules和/etc/audit/audit.rules 文件中: -e 2 
重启auditd:service auditd restart

12. 确保启用对在auditd之前启动的进程的审计

处理建议 (处理时请先做备份) 

编辑/etc/default/grub并将audit = 1添加到GRUB_CMDLINE_LINUX:GRUB_CMDLINE_LINUX="audit=1" 运行以下命令以更新grub2配置:

# grub2-mkconfig -o /boot/grub2/grub.cfg

13. 确保收集了修改用户/组信息的事件

处理建议 (处理时请先做备份) 

将以下行添加到/etc/audit/rules.d/audit.rules和/etc/audit/audit.rules 文件中:

-w /etc/group -p wa -k identity 
-w /etc/passwd -p wa -k identity 
-w /etc/gshadow -p wa -k identity 
-w /etc/shadow -p wa -k identity 
-w /etc/security/opasswd -p wa -k identity 
重启auditd:service auditd restart

14. 确保收集了修改系统的强制访问控制的事件

处理建议 (处理时请先做备份) 

将以下行添加到/etc/audit/rules.d/audit.rules和/etc/audit/audit.rules 文件中:

-w /etc/selinux/ -p wa -k MAC-policy 
-w /usr/share/selinux/ -p wa -k MAC-policy 
重启auditd:service auditd restart

15. 确保收集了登录和注销事件

处理建议 (处理时请先做备份) 

将以下行添加到/etc/audit/rules.d/audit.rules和/etc/audit/audit.rules 文件中:

-w /var/log/lastlog -p wa -k logins 
-w /var/run/faillock/ -p wa -k logins 
重启auditd:service auditd restart

16. 确保收集了会话启动信息

处理建议 (处理时请先做备份) 

将以下行添加到/etc/audit/rules.d/audit.rules和/etc/audit/audit.rules 文件中:

-w /var/run/utmp -p wa -k session 
-w /var/log/wtmp -p wa -k logins 
-w /var/log/btmp -p wa -k logins 
重启auditd:service auditd restart

17. 确保在审核日志已满时禁用系统

处理建议 (处理时请先做备份) 

该配置会在日志满后触发守护进程关闭系统(该配置有让系统关闭中断的风险,对于需要持续生产的环境不建议进行该项配置,对于日志记录及安全要求高的环境可进行该项配置) 

在 /etc/audit/auditd.conf中设置以下参数:

space_left_action = email 
action_mail_acct = root 
admin_space_left_action = halt

二、已通过项15项

1. 确保已配置SSH空闲超时间隔

处理建议 (处理时请先做备份) 

编辑/etc/ssh/sshd_config文件以设置参数:

ClientAliveInterval 300 
ClientAliveCountMax 0

2. 确保SSH MaxAuthTries设置为4或更低

处理建议 (处理时请先做备份)

编辑/etc/ssh/sshd_config文件以设置参数,如下所示:

  MaxAuthTries 4 

3. 确保已禁用SSH空密码登录

处理建议 (处理时请先做备份)

编辑/etc/ssh/sshd_config文件以设置参数,如下所示:

  PermitEmptyPasswords no

4. 确保单用户模式需要身份验证

处理建议 (处理时请先做备份)

编辑/usr/lib/systemd/system/rescue.service 及/usr/lib/systemd/system/emergency.service设置ExecStart
ExecStart=-/bin/sh -c "/sbin/sulogin; /usr/bin/systemctl --fail --no-block default"

5. 确保已启用XD/NX支持

处理建议 (处理时请先做备份) 

在32位系统上,安装具有PAE支持的内核,而在64位系统上则不需要安装:

如有必要,请配置您的引导程序以加载新内核并重新引导系统。

您可能需要在BIOS中启用NX或XD支持。关

于如何启用NX/XD支持,详细指引请参考:

https://access.redhat.com/solutions/2936741

6. 确保配置/etc/passwd的权限

处理建议 (处理时请先做备份) 

运行以下命令以设置/etc/passwd的权限:

# chown root:root /etc/passwd 
# chmod 644 /etc/passwd

7. 确保配置/etc/shadow的权限

处理建议 (处理时请先做备份)

运行以下命令以设置/etc/shadow的权限:

# chown root:root /etc/shadow
# chmod 000 /etc/shadow

8. 确保配置/etc/group的权限

处理建议 (处理时请先做备份)

运行以下命令以设置/etc/group的权限:

# chown root:root /etc/group 
# chmod 644 /etc/group

9. 确保配置/etc/gshadow的权限

处理建议 (处理时请先做备份) 

运行以下chown以设置/etc/gshadow的权限:

# chown root:root /etc/gshadow
# chmod 000 /etc/gshadow

10. 确保配置/etc/passwd-的权限

处理建议 (处理时请先做备份)

运行以下命令以设置/etc/passwd-的权限:

# chown root:root /etc/passwd- 
# chmod u-x,go-rwx /etc/passwd-

11. 确保配置/etc/shadow-的权限

处理建议 (处理时请先做备份) 

运行以下命令以设置/etc/shadow-的权限:

# chown root:root /etc/shadow-
# chmod 000 /etc/shadow-

12. 确保配置/etc/group-的权限

处理建议 (处理时请先做备份) 运行以下命令以设置/etc/group-的权限:

# chown root:root /etc/group-
# chmod u-x,go-wx /etc/group-

13. 确保配置/etc/gshadow-的权限

处理建议 (处理时请先做备份) 运行以下命令以设置/etc/gshadow-的权限:

# chown root:root /etc/gshadow-
# chmod 000 /etc/gshadow-

14. 确保已配置审核日志存储大小

处理建议 (处理时请先做备份)

根据站点策略设置/etc/audit/auditd.conf参数:

  max_log_file = XX<MB>

15. 确保已启用auditd服务

处理建议 (处理时请先做备份) 运行以下命令以启用auditd:

#systemctl enable auditd 

原创声明,本文系作者授权云+社区发表,未经许可,不得转载。

如有侵权,请联系 yunjia_community@tencent.com 删除。

关注作者,阅读全部精彩内容

我来说两句

0 条评论
登录 后参与评论

相关文章

  • 腾讯云主机安全【等保三级】CentOS7安全基线检查策略

    梳理了(Copy+C/Copy+V)一下腾讯云主机安全——【等保三级】CentOS7安全基线检查策略

    yuanfan2012
  • 【基线加固】Centos7等保二级基线加固(主机安全基线)

    编辑/usr/lib/systemd/system/rescue.service 及/usr/lib/systemd/system/emergency.serv...

    腾讯云-MSS服务
  • 腾讯云防火墙全新升级,“三道墙”助力企业云安全防控更高效

    在云的时代,伴随更多企业客户转向公有云,基于云原生的防火墙技术逐步取代传统防火墙,成为守护企业云端安全的关键基础设施。近日,腾讯安全战略级新品——SaaS化云防...

    腾讯安全
  • 5分钟读完6小时课程干货:企业等保合规全面解读

    5G、AI、云计算、物联网等新技术和新架构正在成为社会发展的“关键词”,在新基建的浪潮下产业数字化升级成为重中之重。网络等级保护工作的内涵随之持续扩展,面对各行...

    腾讯安全
  • 全球首家!腾讯云通过 CSA STAR Tech IaaS 云平台安全能力认证

    腾讯云安全
  • 腾讯安全发布《2020年公有云安全报告》,重点剖析8大主流安全风险

    产业互联网的升级换代,也同时带来网络安全的巨大变化。传统威胁是在客户端、企业私有云环境,随着业务上云,安全风险也随之上云。比如,以往传统认为linux系统没有恶...

    腾讯安全
  • 在FIT 2019上,我们的这块“盾牌”和“镜子”获奖了

    在昨天举办的 FreeBuf 互联网安全创新大会( FIT 2019)上, WitAwards 2018年度互联网安全年度评选结果揭晓——腾讯云“数盾”全流程...

    腾讯云安全
  • 一键负载均衡联动防御,腾讯云WAF开启云原生Web防护新模式

    伴随着企业上云步伐的加快,云平台资源池中的Web应用呈现出呈爆发式增长趋势。如何在最大限度确保业务应用效能的基础上,提升网站安全防护架构与云环境的耦合度和适配...

    腾讯云安全
  • 腾讯云安全白皮书

    腾讯云安全团队&腾讯研究院安全研究中心 2019年6月 【版权声明】©2019-2021 腾讯云 版权所有

    用户2620028
  • 腾讯云Web应用防火墙「网站管家」优惠-腾讯云优惠

    腾讯云 Web 应用防火墙(下文中也叫网站管家)( Web Application Firewall,WAF)帮助腾讯云内及云外用户应对 Web 攻击、入侵、漏...

    用户5899205
  • 腾讯安全新一代SaaS化云防火墙正式发布!

    作为腾讯云原生的防火墙,支持云环境下的SaaS化一键部署,性能可弹性扩展,为企业用户提供互联网边界、VPC 边界的网络访问控制;同时基于流量嵌入威胁情报、入侵防...

    腾讯安全
  • 腾讯安全DDoS防护获评“领先安全产品”,护航互联网产业发展

    近日,2019中国互联网经济年会在北京召开,此次会议以“绿光”为主题,聚集互联网+、人工智能、物联网、大数据、区块链等行业的“最强大脑”,共同探讨互联网经济新...

    腾讯云安全
  • AI 赋能安全,腾讯云发布三大安全新品和三大行业安全解决方案

    6月22日,腾讯“云+未来”峰会云安全专场在深圳举行。会上,腾讯云隆重介绍了三款重磅云安全新品,分别为主机安全、反诈骗云、网站安全。

    云加创业小助手
  • 哪个云服务最好用,腾讯云的功能与优势

    很多用户在初次选择云服务器商家的时候,往往不知道怎么选择哪个云服务商好,因为国内云服务商众多,各有各的特点,但是目前选择腾讯云的用户越来越多了,我们就来说说为什...

    tengxunyun8点com活动整理
  • 企业远程办公都有哪些安全风险?腾讯安全专家为您一一剖析

    新冠肺炎疫情期间,大量企业依托云实现了远程办公、信息发布及各类研发业务的快速上线和迭代。在享受云带来的业务弹性高效交付的同时,企业面临的安全风险也如影随形,云...

    腾讯云安全
  • 六问 WeTest 手游测试团队:如何助《梦幻诛仙手游》诛灭外挂

    目前,腾讯WeTest手游安全测试服务已经通过腾讯云全面开放,服务广大的游戏项目。

    腾讯游戏云
  • 干货!金融、政务、互联网,一站式解决三大行业安全痛点

    10月29日,腾讯全球数字生态大会·成都峰会正式开幕。大会围绕产业智慧升级,洞察数字经济发展趋势,分享产业创新发展成果。腾讯公司高级执行副总裁、云与智慧产业事...

    腾讯云安全
  • 腾讯天幕——联动生态,共享安全

    ? 导语:2019年5月21日,腾讯全球数字生态大会在春城昆明盛大开幕。大会中TEG作为腾讯的内部技术支撑平台,在展区展出30余个技术应用。共分为资源层,资源...

    腾讯技术工程官方号
  • 腾讯云发布安全白皮书:聚焦“互联网+”时代云生态

    "鹅厂网事"由深圳市腾讯计算机系统有限公司技术工程事业群网络平台部运营,我们希望与业界各位志同道合的伙伴交流切磋最新的网络、服务器行业动态信息,同时分享腾讯在网...

    鹅厂网事

作者介绍

精选专题

活动推荐

扫码关注云+社区

领取腾讯云代金券