Linux安全基线(六)配置6小项(CentOS 8)

已于 2022-10-14 16:42:58 修改
阅读量835 收藏 1
点赞数
分类专栏: 实战秘籍 文章标签: linux 服务器 运维
于 2022-10-12 14:15:32 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/bigwood99/article/details/127281783
版权

35.确保sudo日志文件存在
sudo可以使用自定义日志文件
编辑文件/etc/sudoers或/etc/sudoers.d/中的文件并添加以下行:
Defaults logfile="<PATH TO CUSTOM LOG FILE>"
**例
Defaults logfile="/var/log/sudo.log"

36.确保已配置rsyslog默认文件权限
rsyslog将创建系统上尚不存在的日志文件。此设置控制将什么权限应用于这些新创建的文件。
编辑/etc/rsyslog.conf文件,并将其$FileCreateMode 设置为0640 或更严格:
$FileCreateMode 0640

37.确保sudo命令使用pty
sudo可以配置为仅从psuedo-pty运行psuedo-pty
编辑文件/etc/sudoers或/etc/sudoers.d/中的文件并添加以下行:
Defaults use_pty

38.确保在/dev/shm分区上设置了noexec选项
noexec挂载选项指定文件系统不能包含可执行二进制文件。
编辑/etc/fstab文件,然后添加noexec到/dev/shm 分区的第四个字段
tmpfs                   /dev/shm                tmpfs   noexec        0 0
运行以下命令重新挂载/dev/shm:
# mount -o remount,noexec /dev/shm

39.确保已配置/tmp
/tmp目录是一个全局可写的目录,用于所有用户和某些应用程序的临时存储
对/etc/fstab进行适当的配置。
例如:
tmpfs /tmp tmpfs defaults,rw,nosuid,nodev,noexec,relatime 0 0

mount -a
或者
运行以下命令以启用 /tmp 挂载:
# systemctl unmask tmp.mount
# systemctl enable tmp.mount

40.设置口令过期后账号仍能保持有效的最大天数。

编辑/etc/default/useradd文件,配置:

INACTIVE=365

乐大师
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
订阅专栏
CentOS Linux7 安全基线检查 明细
04-03
CentOS Linux7 安全基线检查 1.设置用户权限配置文件的权限 描述:确保SSH LogLevel设置为INFO,记录登录和注销活动 方案: 执行以下5条命令: chown root:root /etc/passwd /etc/shadow /etc/group /etc/gshadow ...
阿里云标准-CentOS Linux 7 8安全基线检查
weixin_38367535的博客
08-14 515
设置密码失效时间|身份鉴别 描述 设置密码失效时间,强制定期修改密码,减少密码被泄漏和猜测风险,使用非密码登录方式(如密钥对)请忽略此项。 检查提示 -- 加固建议 使用非密码登录方式如密钥对,请忽略此项。在/etc/login.defs中将 PASS_MAX_DAYS 参数设置为 60-180之间,如: PASS_MAX_DAYS 90 需同时执行命令设置root密码失效时间: chage --maxdays 90 root 设置密码修改最小间隔时间|身份鉴别 描...
ld-linux.so 加载 noexec,Linux版“永恒之蓝”远程代码执行漏洞技术分析
weixin_39916681的博客
05-13 223
Linux版“永恒之蓝”远程代码执行漏洞技术分析发布时间:2017-06-15查看次数:1024分享到一、漏洞描述Samba是一套可使UNIX系列的操作系统与微软Windows操作系统的SMB/CIFS网络协议做连结的自由软件。这个漏洞使得Samba客户端可以主动上传共享库到Samba服务器同时加载并执行该动态库导出函数。攻击者利用漏洞可以进行远程代码执行,具体执行条件如下:1)系统开启了文件/打...
linux默认开启sudo_系统运维|在 Linux 中设置 sudo 的十条 sudoers 实用配置
weixin_39726873的博客
12-22 417
Linux 和其他的类 Unix 操作系统中,只有 root 用户可以运行所有的命令,才能在系统中执行那些需要鉴权的操作,比如安装、升级和移除软件包、创建用户和用户组、修改系统重要的配置文件等等。然而,系统管理员,比如说 root 用户,可以通过 sudo 命令和一些配置选项来给普通用户进行授权,从而让该普通用户可以运行某些命令已经上述的那些相当重要的系统级操作。另外,系统管理员还可以分享 ...
服务器国际基线 等保二级等保三级 服务器加固记录
m0_62755018的博客
01-05 727
--------------------------------------内容已经在下面请各位享用------------------------------------------- 国际基线常见服务器加固常见办法 确保配置了密码尝试失败的锁定 描述 连续n次失败登录尝试后锁定用户。 处理建议 (处理时请先做备份) 编辑/etc/pam.d/password-auth 和/etc/pam.d/system-auth 文件,以符合本地站点策略: auth required pam_fail
Linux——系统配置:日志、系统时间、批处理任务和用户
绝尘
05-25 1316
系统配置:日志、系统时间、批处理任务和用户 /etc目录结构 Linux系统的大部分系统配置文件都存放在/etc目录中。按照惯例,每个程序在这里都有一个或多个配置文件。因为Unix系统的程序数目很多,所以/etc目录也会越来越庞大。 不仅很难找到要找的配置文件,而且维护起来也不方便。比如,要更改系统的日志配置,你需要辑/etc/syslog.conf文件。但是你的更改可能会被随后的系统升级覆盖掉。 目前比较常见的方式是将系统配置文件放到/etc下的子目录,如果你运行ls -F /etc查看的话,你会发现大部
网安等保 | 主机安全CentOS8服务器配置优化与安全加固基线文档脚本分享
WeiyiGeek 唯一极客IT知识分享
06-16 1351
描述: 千呼万唤始出来,网安等保系列之Linux系统主机安全加固文章又更新了,由于作者的【安全开发运维运维学习答疑群(PS: 公众号回复【微信交流群】即可进入哟)的小伙伴们企业中需要针对CentOS8服务器系统进行安全加固,以通过等保3级的主机安全合规检查,作为群主大大的我必须响应群员们的号召,在工作之余,边带娃,边编写该系统加固脚本, 遂在昨日完成该脚本的编写以及验证,可谓是真不容易呀。当前由于。
CentOS Linux 7安全基线
最新发布
05-10
CentOS Linux 7安全基线,适用于CentOS 7 系统
02-阿里云标准-CentOS Linux 6安全基线检查
03-25
在本文中,我们将详细介绍阿里云标准-CentOS Linux 6安全基线检查的七个重要安全配置项。 一、设置密码失效时间 在Linux系统中,密码失效时间是非常重要的安全设置之一。根据阿里云标准,我们需要在/etc/login....
Linux/CentOS服务器安全配置通用指南
09-15
Linux/CentOS服务器安全配置是保护系统免受恶意攻击和数据泄露的关键步骤。以下是一份通用的Linux/CentOS服务器安全配置指南,旨在提供基础但有效的安全加固措施。 1. **禁用不使用的用户和组** 在Linux系统中,...
CentOS 6系统安全配置基线标准.docx
09-03
CentOS 6主机操作系统安全基线检查标准,包含加固前后对比截图,指导开展CentOS 6操作系统安全加固
Centos操作系统安全基线检查
weixin_50877409的博客
07-08 2147
Centos操作系统安全基线
安全配置
shangMD01的博客
12-14 4460
Windows安全配置 打开策略组:win+r 输入gpedit.msc回车 找到密码策略配置:计算机配置-Windows设置-安全设置-账户策略-密码策略 配置账户锁定阈值:计算机配置-Windows设置-安全设置-账户策略-账户锁定策略 配置安全选项:计算机配置-Windows设置-安全设置-本地策略-安全选项 账户:阻止Microsoft账户 交互式登录设置 用户账户控制 高级安全审核配置 账户登录:计算机管理配置-Windows设置-安全设置-高级...
Linux学习笔记:挂载点的选项noexec
weixin_33859504的博客
01-16 3787
给加载点加入noexec选项,那么该挂载点里的文件(注意不是目录)即使给了x权限,都不能直接运行。对只存放数据的分区还是稍稍安全了点,不过,虽然不能直接运行,但一样可以通过sh去执行。[root@vmtest ~]# vi /etc/fstab## /etc/fstab# Created by anaconda on Mon Aug 31 18:50:32 2015## A...
CentOS Linux 7&8安全基线检查
wangzan18的博客
08-15 1714
阿里云标准-CentOS Linux 7/8安全基线检查检查项类别描述加固建议等级密码复杂度检查身份鉴别检查密码长度和密码是否使用多种字符类型编辑/etc/security/pwquality.conf,把minlen(密码最小长度)设置为8-32位,把minclass(至少包含小写字母、大写字母、数字、特殊字符等4类字符...
基线加固】Centos7等保二级基线加固(主机安全基线
tigerman20201的博客
11-17 1375
1、 确保配置了bootloader配置的权限 chown root:root /boot/grub2/grub.cfg chmod og-rwx /boot/grub2/grub.cfg 复制 2、 确保设置了引导程序密码 使用以下命令创建加密的密码grub2-setpassword: grub2-setpassword Enter password: Confirm password: 复制 3、 确保单用户模式需要身份验证 编辑/usr/lib/systemd/system/res
基线管理之Centos安全配置
a2788656708的博客
12-13 2935
实验目的 通过配置Centos配置文件,加强Centos默认安全配置。同时也是理解linux一切皆文件的思想。尝试用shell脚本来处置Centos安全配置。 实验环境 一台Centos 7.2 无需其他环境。 实验原理 Linux操作系统的配置基本上以配置文件展示,通过不同配置文件理解不同的配置。 实验步骤 一、网络配置 1、检查不用的连接 使用以下命令 ip link show up 如下图,发现有两个连接一个为lo,一个为eth0,如果有需要关闭的接口,可以使.
Centos8的基本使用与安全配置
最强菜鸟
07-29 2612
服务器的用户创建及授权说明一、创建用户二、授予root权限 说明 以CentOS 7为例,创建一个普通用户并授予root权限 本文仅为记录学习轨迹,如有侵权,联系删除 一、创建用户 创建:adduser 用户名 设置密码:passwd 用户名 二、授予root权限 命令:gpasswd -a 用户名 wheel 完成之后就可以用新建的账号登录了,需要用户权限的话可以前面加个sudo再执行命令即可 ...
10个有用的Sudoers配置Linux中设置’sudo’
01-11 786
Linux和其他类Unix操作系统,只有root用户可以运行所有命令和执行诸如安装和更新,删除软件包,系统上的某些关键操作创建用户和组 ,修改重要的系统配置文件等等。 然而,系统管理员谁承担root用户的角色可以允许其他系统正常用户的帮助下sudo命令和一些配置来运行一些命令,以及开展一些重要的系统操作,包括上面提到的那些的。 另外,系统管理员可以共享root用户的密码(这不是一个推
CentOS6 Linux操作系统入门教程
"这篇Linux入门教程专注于CentOS6操作系统,主要涵盖了用户管理、文件管理、进程管理、磁盘管理和包管理等基础知识。教程通过一系列命令的介绍,帮助初学者掌握Linux的基本操作。" 在Linux系统中,理解并掌握基本的...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

乐大师

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值