转载自:https://secvery.com/8898.html

注意:注意,注意:处理前请先做备份,处理前请先做备份,处理前请先做备份

1.确保配置了密码尝试失败的锁定

编辑/etc/pam.d/password-auth/etc/pam.d/system-auth 文件,以符合本地站点策略:

auth required pam_faillock.so preauth audit silent deny=5 unlock_time=900

auth [success=1 default=bad] pam_unix.so

auth [default=die] pam_faillock.so authfail audit deny=5 unlock_time=900

auth sufficient pam_faillock.so authsucc audit deny=5 unlock_time=900

2.确保默认用户umask限制为027或更高

编辑/etc/bash.bashrc、/etc/profile和/etc/profile.d/*.sh文件(以及系统上支持的任何其他Shell的适当文件),并添加或编辑umask参数,


umask 027 备注(修复完后运行以下命令以确保是否已完全修复

grep "umask" /etc/bashrc

grep "umask" /etc/profile

grep "umask" /etc/profile.d/*.sh

如果umask 配置不为027的,需全部修改为027或更严格)

3.确保默认用户shell超时为900秒或更短

编辑/etc/bashrc和/etc/profile文件(以及系统上支持的任何其他Shell的适当文件),如下所示:

TMOUT=600

4.确保配置了bootloader配置的权限

运行以下命令来设置对grub配置的权限:

# chown root:root /boot/grub2/grub.cfg

# chmod og-rwx /boot/grub2/grub.cfg

# chown root:root /boot/grub2/user.cfg

# chmod og-rwx /boot/grub2/user.cfg

5,确保设置了引导程序密码

使用以下命令创建加密的密码grub2-setpassword:

# grub2-setpassword

Enter password:

Confirm password:

6.确保核心转储受到限制

将以下行添加到/etc/security/limits.conf或/etc/security/limits.d/*文件中:

  * hard core 0

在/etc/sysctl.conf或/etc/sysctl.d/*文件中设置以下参数:

  fs.suid_dumpable = 0

运行以下命令来设置活动内核参数:

# sysctl -w fs.suid_dumpable=0

7.确保启用了地址空间布局随机化(ASLR)

在/etc/sysctl.conf或/etc/sysctl.d/*文件中设置以下参数:

  kernel.randomize_va_space = 2

运行以下命令来设置内核参数:

  # sysctl -w kernel.randomize_va_space=2

8.确保审核日志不会自动删除

在/etc/audit/auditd.conf中设置以下参数 :

max_log_file_action = keep_logs

9.确保系统管理范围(sudoers)更改的收集

将以下行添加到/etc/audit/rules.d/audit.rules和/etc/audit/audit.rules 文件中:

-w /etc/sudoers -p wa -k scope

-w /etc/sudoers.d/ -p wa -k scope

重启auditd:service auditd restart

10.确保收集了系统管理员操作(sudolog)

将以下行添加到/etc/audit/rules.d/audit.rules和/etc/audit/audit.rules 文件中:

-w /var/log/sudo.log -p wa -k actions

重启auditd:service auditd restart

11.确保审核配置是不变的

将以下行添加到/etc/audit/rules.d/audit.rules和/etc/audit/audit.rules 文件中: -e 2

重启auditd:service auditd restart

12.确保启用对在auditd之前启动的进程的审计

编辑/etc/default/grub并将audit = 1添加到GRUB_CMDLINE_LINUX:GRUB_CMDLINE_LINUX="audit=1" 运行以下命令以更新grub2配置:

# grub2-mkconfig -o /boot/grub2/grub.cfg
  1. 确保收集了修改用户/组信息的事件

将以下行添加到/etc/audit/rules.d/audit.rules和/etc/audit/audit.rules 文件中:

-w /etc/group -p wa -k identity

-w /etc/passwd -p wa -k identity

-w /etc/gshadow -p wa -k identity

-w /etc/shadow -p wa -k identity

-w /etc/security/opasswd -p wa -k identity

重启auditd:service auditd restart

14.确保收集了修改系统的强制访问控制的事件

将以下行添加到/etc/audit/rules.d/audit.rules和/etc/audit/audit.rules 文件中:

-w /etc/selinux/ -p wa -k MAC-policy

-w /usr/share/selinux/ -p wa -k MAC-policy

重启auditd:service auditd restart

15.确保收集了登录和注销事件

将以下行添加到/etc/audit/rules.d/audit.rules和/etc/audit/audit.rules 文件中:

-w /var/log/lastlog -p wa -k logins

-w /var/run/faillock/ -p wa -k logins

重启auditd:service auditd restart

16.确保收集了会话启动信息

将以下行添加到/etc/audit/rules.d/audit.rules和/etc/audit/audit.rules 文件中:

-w /var/run/utmp -p wa -k session

-w /var/log/wtmp -p wa -k logins

-w /var/log/btmp -p wa -k logins

重启auditd:service auditd restart

17.确保在审核日志已满时禁用系统

该配置会在日志满后触发守护进程关闭系统(该配置有让系统关闭中断的风险,对于需要持续生产的环境不建议进行该项配置,对于日志记录及安全要求高的环境可进行该项配置)

在 /etc/audit/auditd.conf中设置以下参数:

space_left_action = email

action_mail_acct = root

admin_space_left_action = halt

18.确保已配置SSH空闲超时间隔

编辑/etc/ssh/sshd_config文件以设置参数:

ClientAliveInterval 300

ClientAliveCountMax 0

19.确保SSH MaxAuthTries设置为4或更低

编辑/etc/ssh/sshd_config文件以设置参数,如下所示:

MaxAuthTries 4

20.确保已禁用SSH空密码登录

编辑/etc/ssh/sshd_config文件以设置参数,如下所示:

PermitEmptyPasswords no

21.确保单用户模式需要身份验证

编辑/usr/lib/systemd/system/rescue.service 及/usr/lib/systemd/system/emergency.service设置ExecStart

ExecStart=-/bin/sh -c "/sbin/sulogin; /usr/bin/systemctl --fail --no-block default"

22.确保已启用XD/NX支持

在32位系统上,安装具有PAE支持的内核,而在64位系统上则不需要安装:

如有必要,请配置您的引导程序以加载新内核并重新引导系统。

您可能需要在BIOS中启用NX或XD支持。关于如何启用NX/XD支持,详细指引请参考:https://access.redhat.com/solutions/2936741

23.确保配置/etc/passwd的权限

运行以下命令以设置/etc/passwd的权限:

# chown root:root /etc/passwd

# chmod 644 /etc/passwd

24.确保配置/etc/shadow的权限

运行以下命令以设置/etc/shadow的权限:

# chown root:root /etc/shadow

# chmod 000 /etc/shadow

25.确保配置/etc/group的权限

运行以下命令以设置/etc/group的权限:

# chown root:root /etc/group

# chmod 644 /etc/group

26.确保配置/etc/gshadow的权限

运行以下chown以设置/etc/gshadow的权限:

# chown root:root /etc/gshadow

# chmod 000 /etc/gshadow

27.确保配置/etc/passwd-的权限

运行以下命令以设置/etc/passwd-的权限:

# chown root:root /etc/passwd-

# chmod u-x,go-rwx /etc/passwd-

28.确保配置/etc/shadow-的权限

运行以下命令以设置/etc/shadow-的权限:

# chown root:root /etc/shadow-

# chmod 000 /etc/shadow-

29.确保配置/etc/group-的权限

运行以下命令以设置/etc/group-的权限:

# chown root:root /etc/group-

# chmod u-x,go-wx /etc/group-

30.确保配置/etc/gshadow-的权限

运行以下命令以设置/etc/gshadow-的权限:

# chown root:root /etc/gshadow-

# chmod 000 /etc/gshadow-

31.确保已配置审核日志存储大小

根据站点策略设置/etc/audit/auditd.conf参数:

max_log_file = XX

32.确保已启用auditd服务

运行以下命令以启用auditd:

#systemctl enable auditd

腾讯云主机安全【等保三级】CentOS7安全基线检查策略的更多相关文章

  1. tomcat、腾讯云主机和微信

    腾讯云主机和微信 申请一个腾讯云上的服务器(在这里我是申请的Linux系统,里面自己事先装好了tomcat.jdk等所需要用到的工具,注意做好必要的配置工作) 连接服务器和部署项目时必要的步骤:1.将 ...

  2. 腾讯云主机 MySQL 远程访问配置方法

    使用腾讯云主机安装 MySQL 之后,需要通过以下步骤进行配置以实现远程访问,主要分为两大部分 一.服务器端口配置 1.如果你的云主机配置了安全组,如果没有配置安全组就可以直接跳过“步骤1”的操作,否 ...

  3. 访问腾讯云主机mysql的设置问题

    ---恢复内容开始--- 1.需要打开腾讯云主机的防火墙端口3306,具体实现可以在腾讯云控制台安全组中设置开放全部端口(安全组对应入站.出战规则): 2.将云主机mysql中mysql数据库user ...

  4. Ubuntu腾讯云主机安装分布式memcache服务器,C#中连接云主机进行存储的示例

    Ubuntu腾讯云主机安装分布式memcache服务器,C#中连接云主机进行存储的示例(github代码:https://github.com/qq719862911/MemcacheTestDemo ...

  5. 腾讯云主机及CentOS7.2简单上手体验

    前段时间拜读了崔庆才老师的<Python③网络爬虫开发实战>受益良多,对于初学爬虫的新手来说,本书真可谓是通俗易懂,非常适合新手入门.但是受制于没有服务器环境,书中很多例子难以模拟!最近正 ...

  6. 腾讯云主机的公网无法访问,putty和FileZilla连接不上

    1.解决方法一(之前百度都是这种安全组忘了添加) 2.解决方案二(ps:我是用centos的,然后不知道为什么访问不了,端口也是全部开的) service network restart 重置网络命令 ...

  7. 腾讯云主机安装登录mysql失败--解决方案[重置root密码并实现远程连接]

    登录MySQL时报错:Access denied for user 'root'@'localhost' (using password: YES) 解决步骤: 1.使用ssh工具连接主机,使用mys ...

  8. 腾讯云主机如何使用root账号登录,不能使用root登录怎么办

    1.先用ubuntu账号登录,执行sudo passwd root 2.按要求输入密码,请牢记. 3.执行sudo vi /etc/ssh/sshd_config 4.找到PermitRootLogi ...

  9. 给腾讯云Linux主机创建Swap文件

    新买的腾讯云主机没有提供Swap分区 理由是由于主机经常因为内存使用率过高,频繁使用Swap,导致磁盘IO过高,服务器整体性能反而下降. 不过用户依然可以使用Swap文件的方式添加Swap. 方法如下 ...

随机推荐

  1. Tomcat深入浅出(一)

    一.Tomcat简介 我们下载好Tomcat后需要配置一下Java环境:如果打开出现闪退得情况,首先是jdk 同时配置JRE_HOME Tomcat的一些关键目录: /bin:存放用于启动及关闭的文件 ...

  2. 跨平台(32bit和64bit)的 printf 格式符 %lld 输出64位的解决方式

    问题描述 在 C/C++ 开发中,使用 printf 打印 64 位变量比较常用,通常在 32 位系统中使用 %lld 输出 64 位的变量,而在 64 位系统中则使用 %ld: 如果在 32 位系统 ...

  3. SpringMVC-01

    1. 概述 1.1 概念 SpringMVC是一种基于Java实现MVC模型的轻量级Web框架 优点 使用简单,开发便捷(相比于Servlet) 灵活性强 项目请求响应架构演进: 软件三层 软件三层 ...

  4. 4 zookeeper集群和基本命令

    4 zookeeper集群和基本命令 集群思路:先搞定一台服务器,再克隆出两台,形成集群! 1 安装zookeeper 我们的zookeeper是安装在/opt目录下 2 配置服务器编号 在/opt/ ...

  5. 002 Redis使用及API

    Redis的使用及相关API 1.作用: 提高查询效率 一定程度上可以减轻数据库服务器的冲击压力,从而保护了数据库 //1.是否包含key redisTemplate.hasKey(key) //2. ...

  6. Element 2 组件源码剖析之布局容器

    0x00 简介 前文分析过组件的 布局栅格化(Grid Layout) ,通过基础的 24 分栏,迅速简便地创建布局. 本文将介绍用于布局的容器组件,使用 Flexbox 功能将其所控制区域设定为特定 ...

  7. 珠联壁合地设天造|M1 Mac os(Apple Silicon)基于vscode(arm64)配置搭建Java开发环境(集成web框架Springboot)

    原文转载自「刘悦的技术博客」https://v3u.cn/a_id_194 也许有人从未听说过Python,但是不会有人没听说过Java,它作为一个拥有悠久历史的老牌编程语言,常年雄踞TIOBE编程语 ...

  8. 【web自动化测试】Playwright快速入门,5分钟上手

    我喜欢Playwright! 这是微软开源的一款非常强大的自动化工具,再过几年,他很有可能取代Selenium在浏览器自动化的通知地位.使用过一段时间,我没有找到很好的中文资料可以参考,导致很多问题无 ...

  9. 4 亿用户,7W+ 作业调度难题,Bigo 基于 Apache DolphinScheduler 巧化解

    点击上方 蓝字关注我们 ✎ 编 者 按 成立于 2014 年的 Bigo,成立以来就聚焦于在全球范围内提供音视频服务.面对 4 亿多用户,Bigo 大数据团队打造的计算平台基于 Apache Dolp ...

  10. 开源风吹动开源心 ~ 8月16日,你若来,我们(Apache)在等你!

    点击上方蓝字关注ALC Beijing 抢! 太好看了吧! 买它,就是它,买它! 要抢! ALC是Apache Local Community的缩写,是全世界范围的 Apache 开源爱好者本地群组. ...