Linux 常用安全基线配置汇总
今天汇总一下常用的安全基线配置,加强你们企业主机安全防护。
如果配置这个,至少需要有一个可登录的普通用户
复制
vi /etc/ssh/sshd_config
将PermitRootLogin yes改为PermitRootLogin no
systemctl restart sshd1.2.3.4.5.
最大口令过期时间设置为小于或等于90天;
复制
# 修改前备份
cp /etc/login.defs /etc/login.defs.bak
# 修改配置
vim /etc/login.defs
# 修改下面的内容
PASS_MAX_DAYS 90 # 密码最大过期时间,不大于90则合规
PASS_MIN_DAYS 7 # 口令更改最小间隔天数应大于等于7
PASS_WARN_AGE 7 # 口令过期警告提前天数1.2.3.4.5.6.7.8.9.
一般需要包括数字大小写,八位以上:
复制
# 修改前备份
cp /etc/pam.d/system-auth /etc/pam.d/system-auth.bak
# 修改配置
vim /etc/pam.d/system-auth
# 没有则新增
password requisite pam_cracklib.so try_first_pass retry=3 minlen=8 dcredit=-1 ucredit=-1 ocredit=-1 lcredit=-11.2.3.4.5.6.7.8.
复制
配置参数说明:
# 配置说明
retry= 3 # 在返回失败前允许3次尝试。
minlen = 8 # 密码必须是8个字符或更多
dcredit = - 1 # 提供至少1位数字
ucredit = - 1 # 提供至少一个大写字符
ocredit = - 1 # 提供至少一个特殊字符
lcredit = - 1 # 提供至少一个小写字符1.2.3.4.5.6.7.8.
复制
vim /etc/pam.d/system-auth
# 增加如下内容:输入错误5次,锁定180s
auth required pam_tally2.so deny=5 notallow=fail no_magic_root unlock_time=180
account required pam_tally2.so1.2.3.4.5.6.
只允许wheel组的用户才能su为root则合规,禁止任何人切换root;
复制
# 修改前备份
cp /etc/pam.d/su /etc/pam.d/su_bak
vim /etc/pam.d/su
# 添加
auth sufficient pam_rootok.so
auth required pam_wheel.so use_uid
# 将允许su的用户加入wheel组
usermod -G wheel $username1.2.3.4.5.6.7.8.9.10.
保证bash shell保存少量的(或不保存)命令,保存较少的命令条数,减少安全隐患,并设置时间戳;
复制
vim /etc/profile
# 修改下面配置,没有则新增
# 设置历史命令时间戳
export HISTTIMEFORMAT="%F %T "
#
HISTFILESIZE=5
HISTSIZE=50 # 保留历史命令条数,默认是1000条1.2.3.4.5.6.7.
复制
chmod 644 /etc/passwd
chmod 644 /etc/group
chmod 400 /etc/shadow
chmod 400 /etc/gshadow1.2.3.4.
确保rsyslog服务已启用,记录日志用于审计:
复制
systemctl enable rsyslog
systemctl start rsyslog1.2.
安全基线配置有很多,不同的等保级别要求的基线不一样。以上都是比较常用的基线配置,在企业中,还需要根据安全部门提供的比较详细的基线来配置。
【温馨提示】做安全基线时已经要做好文件的备份,如果条件允许,先在测试环境上操作,避免修改后无法登录系统。
阅读剩余
THE END
