执行命令

sysctl -w net.ipv4.conf.all.send_redirects=0
sysctl -w net.ipv4.conf.default.send_redirects=0
sysctl -w net.ipv4.conf.all.accept_redirects=0
sysctl -w net.ipv4.conf.default.accept_redirects=0
sysctl -w net.ipv4.conf.all.secure_redirects=0
sysctl -w net.ipv4.conf.default.secure_redirects=0
sysctl -w net.ipv4.conf.all.rp_filter=1
sysctl -w net.ipv4.conf.default.rp_filter=1

执行命令查看结果

sysctl net.ipv4.conf.all.send_redirects
sysctl net.ipv4.conf.default.send_redirects
sysctl net.ipv4.conf.all.accept_redirects
sysctl net.ipv4.conf.default.accept_redirects
sysctl net.ipv4.conf.all.secure_redirects
sysctl net.ipv4.conf.default.secure_redirects
sysctl net.ipv4.conf.all.rp_filter
sysctl net.ipv4.conf.default.rp_filter

修改配置文件

vi /etc/sysctl.conf

net.ipv4.conf.all.send_redirects=0
net.ipv4.conf.default.send_redirects=0
net.ipv4.conf.all.accept_redirects=0
net.ipv4.conf.default.accept_redirects=0
net.ipv4.conf.all.secure_redirects=0
net.ipv4.conf.default.secure_redirects=0
net.ipv4.conf.all.rp_filter=1
net.ipv4.conf.default.rp_filter=1

执行命令

sysctl -w net.ipv6.conf.all.accept_ra=0
sysctl -w net.ipv6.conf.default.accept_ra=0
sysctl -w net.ipv6.conf.all.accept_redirects=0
sysctl -w net.ipv6.conf.default.accept_redirects=0

执行命令查看结果

sysctl net.ipv6.conf.all.accept_ra
sysctl net.ipv6.conf.default.accept_ra
sysctl net.ipv6.conf.all.accept_redirects
sysctl net.ipv6.conf.default.accept_redirects

修改配置文件

vi /etc/sysctl.conf
net.ipv6.conf.all.accept_ra=0
net.ipv6.conf.default.accept_ra=0
net.ipv6.conf.all.accept_redirects=0
net.ipv6.conf.default.accept_redirects=0

执行命令

chmod 0600 /boot/grub2/grub.cfg
chmod 0600 /etc/crontab
chmod 0600 /etc/cron.hourly
chmod 0600 /etc/cron.daily
chmod 0600 /etc/cron.weekly
chmod 0600 /etc/cron.monthly
chmod 0600 /etc/cron.d
useradd -D -f 1095

修改配置文件(取消注释)

vi /etc/ssh/sshd_config

LogLevel INFO
MaxAuthTries
IgnoreRhosts yes
HostbasedAuthentication no
PermitEmptyPasswords no
PermitUserEnvironment no
LoginGraceTime

修改配置文件(取消注释或修改参数)

vi /etc/security/pwquality.conf

minlen=10
dcredit=-1
ucredit=-1
lcredit=-1
ocredit=-1

修改配置文件(添加配置)

vi /etc/pam.d/password-auth
password sufficient pam_unix.so remember=3

修改配置文件(添加配置)

vi /etc/pam.d/system-auth
password sufficient pam_unix.so remember=3

修改配置文件(添加配置)

vi /etc/rsyslog.conf
$FileCreateMode 0640

修改配置文件

在/etc/login.defs 设置密码修改最小间隔时间,建议值7

检查项: 禁止root直接登录
加固建议: 注意:在修改此项之前,请务必创建一个可登陆账号;在/etc/ssh/sshd_config中PermitRootLogin的值:yes设置为no
检查项: 默认登录端口检测
加固建议: 在/etc/ssh/sshd_config中取消Port 22注释符号#,并修改22为其它值

附:

风险分类:合规基线检测-Centos7系统基线合规检测
检测项说明:按照CIS-Linux Centos7最新基线标准进行系统层面基线检测

检查项: 禁止转发ICMP重定向报文
加固建议: 首先执行:sysctl -w net.ipv4.conf.all.send_redirects=0(执行结果可利用sysctl net.ipv4.conf.all.send_redirects查看值是否为0),再查看/etc/sysctl.conf中是否存在net.ipv4.conf.all.send_redirects=0,不存在则添加
检查项: 禁止转发ICMP重定向报文
加固建议: 首先执行:sysctl -w net.ipv4.conf.default.send_redirects=0(执行结果可利用sysctl net.ipv4.conf.default.send_redirects查看值是否为0),再查看/etc/sysctl.conf中是否存在net.ipv4.conf.default.send_redirects=0,不存在则添加
检查项: 禁止包含源路由的ip包
加固建议: 首先执行:sysctl -w net.ipv4.conf.all.accept_redirects=0(执行结果可利用sysctl net.ipv4.conf.all.accept_redirects查看值是否为0),再查看/etc/sysctl.conf中是否存在net.ipv4.conf.all.accept_redirects=0,不存在则添加
检查项: 禁止包含源路由的ip包
加固建议: 首先执行:sysctl -w net.ipv4.conf.default.accept_redirects=0(执行结果可利用sysctl net.ipv4.conf.default.accept_redirects查看值是否为0),再查看/etc/sysctl.conf中是否存在net.ipv4.conf.default.accept_redirects=0,不存在则添加
检查项: 禁止转发安全ICMP重定向报文
加固建议: 首先执行:sysctl -w net.ipv4.conf.all.secure_redirects=0(执行结果可利用sysctl net.ipv4.conf.all.secure_redirects查看值是否为0),再查看/etc/sysctl.conf中是否存在net.ipv4.conf.all.secure_redirects=0,不存在则添加
检查项: 禁止转发安全ICMP重定向报文
加固建议: 首先执行:sysctl -w net.ipv4.conf.default.secure_redirects=0(执行结果可利用sysctl net.ipv4.conf.default.secure_redirects查看值是否为0),再查看/etc/sysctl.conf中是否存在net.ipv4.conf.default.secure_redirects=0,不存在则添加
检查项: 禁止ipv6路由广播
加固建议: 首先执行:sysctl -w net.ipv6.conf.all.accept_ra=0(执行结果可利用sysctl net.ipv6.conf.all.accept_ra查看值是否为0),再查看/etc/sysctl.conf中是否存在net.ipv6.conf.all.accept_ra=0,不存在则添加
检查项: 禁止ipv6路由广播
加固建议: 首先执行:sysctl -w net.ipv6.conf.default.accept_ra=0(执行结果可利用sysctl net.ipv6.conf.default.accept_ra查看值是否为0),再查看/etc/sysctl.conf中是否存在net.ipv6.conf.default.accept_ra=0,不存在则添加
检查项: 禁止ipv6路由重定向
加固建议: 首先执行:sysctl -w net.ipv6.conf.all.accept_redirects=0(执行结果可利用sysctl net.ipv6.conf.all.accept_redirects查看值是否为0),再查看/etc/sysctl.conf中是否存在net.ipv6.conf.all.accept_redirects=0,不存在则添加
检查项: 禁止ipv6路由重定向
加固建议: 首先执行:sysctl -w net.ipv6.conf.default.accept_redirects=0(执行结果可利用sysctl net.ipv6.conf.default.accept_redirects查看值是否为0),再查看/etc/sysctl.conf中是否存在net.ipv6.conf.default.accept_redirects=0,不存在则添加
检查项: 密码授权新密码与老密码不能重复
加固建议: 在/etc/pam.d/password-auth中添加:password sufficient pam_unix.so remember=3 ,remember的值表示此次设置密码与过去3次不同
检查项: 系统授权新密码与老密码不能重复
加固建议: 在/etc/pam.d/system-auth中添加:password sufficient pam_unix.so remember=3 ,remember的值表示此次设置密码与过去3次不同
检查项: rsyslog日志文件权限配置
加固建议: 在/etc/rsyslog.conf中添加:$FileCreateMode 0640
检查项: 禁止root直接登录
加固建议: 注意:在修改此项之前,请务必创建一个可登陆账号;在/etc/ssh/sshd_config中PermitRootLogin的值:yes设置为no
检查项: 默认登录端口检测
加固建议: 在/etc/ssh/sshd_config中取消Port 22注释符号#,并修改22为其它值
检查项: SSHD仅记录ssh用户登录活动
加固建议: 在/etc/ssh/sshd_config中取消LogLevel INFO注释符号#
检查项: SSHD仅记录ssh用户登录活动
加固建议: 在/etc/ssh/sshd_config中取消MaxAuthTries注释符号#,设置自定义最大密码尝试失败次数
检查项: 清理主机远程登录历史主机记录
加固建议: 在/etc/ssh/sshd_config中取消IgnoreRhosts yes注释符号#
检查项: 禁止主机认证登录
加固建议: 在/etc/ssh/sshd_config中取消HostbasedAuthentication no注释符号#
检查项: 禁止空密码用户登录
加固建议: 在/etc/ssh/sshd_config中取消PermitEmptyPasswords no注释符号#
检查项: 禁止用户修改环境变量
加固建议: 在/etc/ssh/sshd_config中取消PermitUserEnvironment no注释符号#
检查项: 设置输入密码间隔时间
加固建议: 在/etc/ssh/sshd_config中取消LoginGraceTime前注释符,同时设置输入密码时间间隔秒数
检查项: 设置用户密码最小长度
加固建议: 在/etc/security/pwquality.conf中取消minlen注释符号#,同时设置最小密码长度建议10位以上
检查项: 设置用户密码数字位数
加固建议: 在/etc/security/pwquality.conf中取消dcredit注释符号#,同时设置为负数建议-1最少包含1位数字
检查项: 设置用户密码大写字母位数
加固建议: 在/etc/security/pwquality.conf中取消ucredit注释符号#,同时设置为负数建议-1最少包含1位大写字母
检查项: 设置用户密码小写字母位数
加固建议: 在/etc/security/pwquality.conf中取消lcredit注释符号#,同时设置为负数建议-1最少包含1位小写字母
检查项: 设置用户密码特殊字符位数
加固建议: 在/etc/security/pwquality.conf中取消ocredit注释符号#,同时设置为负数建议-1最少包含1位特殊字符
检查项: 密码修改最小间隔时间
加固建议: 在/etc/login.defs 设置密码修改最小间隔时间,建议值7
检查项: 设置有密码账户不活动最大时间
加固建议: 使用如下命令设置有密码账户不活动最大时间值:useradd -D -f 1095,建议值1095天
检查项: 检查/boot/grub2/grub.cfg文件ACL属性
加固建议: 执行:chmod 0600 /boot/grub2/grub.cfg
检查项: 检查/etc/crontab文件ACL属性
加固建议: 执行:chmod 0600 /etc/crontab
检查项: 检查/etc/cron.hourly文件ACL属性
加固建议: 执行:chmod 0600 /etc/cron.hourly
检查项: 检查/etc/cron.daily文件ACL属性
加固建议: 执行:chmod 0600 /etc/cron.daily
检查项: 检查/etc/cron.weekly 文件ACL属性
加固建议: 执行:chmod 0600 /etc/cron.weekly
检查项: 检查/etc/cron.monthly 文件ACL属性
加固建议: 执行:chmod 0600 /etc/cron.monthly
检查项: 检查/etc/cron.d 文件ACL属性
加固建议: 执行:chmod 0600 /etc/cron.d

阿里云安骑士-Centos7系统基线合规检测-修复记录的更多相关文章

  1. 解决阿里云安骑士漏洞警告:wordpress WPImageEditorImagick 指令注入漏洞

    解决:wordpress WPImageEditorImagick 指令注入漏洞 前些天在阿里云服务器上安装了wordpress,阿里云提示有wordpress WP_Image_Editor_Ima ...

  2. 阿里云ECS 实例Centos7系统磁盘扩容

    需求:一台阿里云的数据盘磁盘空间不足,需要扩容,我这里只有一个主分区,ext4文件系统. 因为磁盘扩容场景不同,阿里云的文档比较全面一些,所以先奉上阿里云的文档,下面开始我的操作步骤: 1.登录控制台 ...

  3. 阿里云ECS服务器CentOS7.2安装Python2.7.13

    阿里云ECS服务器CentOS7.2安装Python2.7.13 yum中最新的也是Python 2.6.6,只能下载Python 2.7.9的源代码自己编译安装. 操作步骤如下: 检查CentOS7 ...

  4. Kubernetes+Docker的云平台在CentOS7系统上的安装

    Kubernetes+Docker的云平台在CentOS7系统上的安装 1.运行VirtualBox5. 2.安装CentOS7系统. 注意:选择Basic Server类型 安装过程略. 3.修改计 ...

  5. 阿里云服务器: centos7 ftp安装

    阿里云服务器: centos7 ftp安装 ftp需要您参考下面链接和附件开放安全组20.21.1024-65535 后查看是否正常. 配置步骤如下, 1, 如果没有安装ftp,需要先安装 yum - ...

  6. Linux基线合规检查中各文件的作用及配置脚本

    1./etc/motd 操作:echo " Authorized users only. All activity may be monitored and reported " ...

  7. Android App隐私合规检测辅助工具(Camille)

    Camille Android App隐私合规检测辅助工具,项目仓库:https://github.com/zhengjim/camille 简介 现如今APP隐私合规十分重要,各监管部门不断开展AP ...

  8. 部署java项目到阿里云服务器(centos7版本)

    一.搭建环境 1.搭建java环境(64位) 一.准备压缩包,rpm包或者tar包,将其上传到阿里云对应的文件夹(我用的工具是WinSCP,百度一下就有下载资源) 二.若是rpm包,可以通过 rpm ...

  9. 搭建阿里云lnmp环境 (centos7+nginx+MySQL5.7.9+PHP7)

    阿里云一台服务器出现问题! 我估计是一键安装包环境的原因,所以打算重新搭建下环境! 首先,当然是先做好快照!安全第一! 对系统盘做更换系统操作,装上纯净版的centos. 装好后,进入系统 一.挂载数 ...

随机推荐

  1. IDEA中配置JUnit单元测试

    参考安装教程:https://www.jianshu.com/p/c37753b6dbd6 如果想用junit4的话,需要在pom.xml中配置. 需要安装JUnitGenerator V2.0插件, ...

  2. 使用iptables禁止外网访问tomcat的8080端口

    如果项目同时使用了nginx反向代理服务器和tomcat等web服务器,并且两台服务器都暴露于公网中,那么通常我们会禁止外网直接访问tomcat,因为以下原因: 1.如果可以直接访问tomcat,那么 ...

  3. pta l3-20(至多删三个字符)

    题目链接:https://pintia.cn/problem-sets/994805046380707840/problems/994805046946938880 题意:给定一个长度<=106 ...

  4. HDU-1212.BigNumber(有关模数的定理)

    本题大意:给出一个1000位以内的大数和一个小数,让你计算并给出大数对小数取余的结果. 本题思路:由下面的公式可以推出本题的计算公式,套入即可解决,建议自己把这个公式推一下,很简单的... 参考代码: ...

  5. SVN集成compare4比较软件

    打开TortoiseSVN的Setting,选择左边的Diff Viewer 设置如下: "D:\Program Files\Beyond Compare 4\BComp.exe" ...

  6. attenuation

    attenuation - 必应词典 美[əˌtenjʊ'eɪʃ(ə)n]英[əˌtenjʊ'eɪʃ(ə)n] n.减弱:稀释:[物]衰减:变细 网络衰减量:衰减作用:衰减值

  7. Win10 安装 Anaconda3 用 Anaconda3 安装TensorFlow 1.2 (只支持python3.5)

    Win10 安装 Anaconda3 1.安装Anaconda3 选择相应的Anaconda进行安装,下载地址点击这里,下载对应系统版本的Anaconda,官网现在的版本是Anaconda 4.3.1 ...

  8. bitcode?

    今天在网站上看到一篇关于第三方库不包含bitcode就会报错的文章,感觉剖析得很详细,分享出来,希望可以对iOS初入门者有所帮助.下面我们就一起来看看吧. 用Xcode 7 beta 3在真机(iOS ...

  9. sqlserver还原数据库失败,sql2008备份集中的数据库备份与现有的xxx数据库不同

    正常操作发现报标题错误,百度后解决思路如下(@参考文章)转到选项下面,勾选覆盖现有数据库即可

  10. Freemarker全部文档和具体实例

    自己查找到了一些相关的资料分享给大家,有兴趣的可以去看看! Freemarker全部文档:http://www.open-open.com/doc/list/101?o=p