35.确保sudo日志文件存在
sudo可以使用自定义日志文件
编辑文件/etc/sudoers或/etc/sudoers.d/中的文件并添加以下行:
Defaults logfile="<PATH TO CUSTOM LOG FILE>"
**例
Defaults logfile="/var/log/sudo.log"
36.确保已配置rsyslog默认文件权限
rsyslog将创建系统上尚不存在的日志文件。此设置控制将什么权限应用于这些新创建的文件。
编辑/etc/rsyslog.conf文件,并将其$FileCreateMode 设置为0640 或更严格:
$FileCreateMode 0640
37.确保sudo命令使用pty
sudo可以配置为仅从psuedo-pty运行psuedo-pty
编辑文件/etc/sudoers或/etc/sudoers.d/中的文件并添加以下行:
Defaults use_pty
38.确保在/dev/shm分区上设置了noexec选项
noexec挂载选项指定文件系统不能包含可执行二进制文件。
编辑/etc/fstab文件,然后添加noexec到/dev/shm 分区的第四个字段
tmpfs /dev/shm tmpfs noexec 0 0
运行以下命令重新挂载/dev/shm:
# mount -o remount,noexec /dev/shm
39.确保已配置/tmp
/tmp目录是一个全局可写的目录,用于所有用户和某些应用程序的临时存储
对/etc/fstab进行适当的配置。
例如:
tmpfs /tmp tmpfs defaults,rw,nosuid,nodev,noexec,relatime 0 0
mount -a
或者
运行以下命令以启用 /tmp 挂载:
# systemctl unmask tmp.mount
# systemctl enable tmp.mount
40.设置口令过期后账号仍能保持有效的最大天数。
编辑/etc/default/useradd文件,配置:
INACTIVE=365