linux安全性配置

linux安全性配置优化

检查项分类	检查项名称	检查项描述	风险等级	修复建议
服务配置	禁止SSH空密码用户登录	禁止SSH空密码用户登录	高危	在/etc/ssh/sshd_config中取消PermitEmptyPasswords no注释符号#
身份鉴别	设置密码失效时间	设置密码失效时间，强制定期修改密码，减少密码被泄漏和猜测风险，使用非密码登陆方式(如密钥对)请忽略此项。	高危	使用非密码登陆方式如密钥对，请忽略此项。在 /etc/login.defs 中将 PASS_MAX_DAYS 参数设置为 60-180之间，如 PASS_MAX_DAYS 90。需同时执行命令设置root密码失效时间： chage --maxdays 90 root。
身份鉴别	设置密码修改最小间隔时间	设置密码修改最小间隔时间，限制密码更改过于频繁	高危	在 /etc/login.defs 中将 PASS_MIN_DAYS 参数设置为7-14之间,建议为7：  PASS_MIN_DAYS 7  需同时执行命令为root用户设置： chage --mindays 7 root
服务配置	确保SSH MaxAuthTries设置为3到6之间	设置较低的Max AuthTrimes参数将降低SSH服务器被暴力攻击成功的风险。	高危	在/etc/ssh/sshd_config中取消MaxAuthTries注释符号#，设置最大密码尝试失败次数3-6，建议为4： MaxAuthTries 4
服务配置	SSHD强制使用V2安全协议	SSHD强制使用V2安全协议	高危	编辑 /etc/ssh/sshd_config 文件以按如下方式设置参数： Protocol 2
服务配置	设置SSH空闲超时退出时间	设置SSH空闲超时退出时间,可降低未授权用户访问其他用户ssh会话的风险	高危	编辑/etc/ssh/sshd_config，将ClientAliveInterval 设置为300到900，即5-15分钟，将ClientAliveCountMax设置为0。 ClientAliveInterval 900 ClientAliveCountMax 0
服务配置	确保SSH LogLevel设置为INFO	确保SSH LogLevel设置为INFO,记录登录和注销活动	高危	编辑 /etc/ssh/sshd_config 文件以按如下方式设置参数(取消注释):  LogLevel INFO
文件权限	设置用户权限配置文件的权限	设置用户权限配置文件的权限	高危	执行以下5条命令  chown root:root /etc/passwd /etc/shadow /etc/group /etc/gshadow  chmod 0644 /etc/group    chmod 0644 /etc/passwd    chmod 0400 /etc/shadow    chmod 0400 /etc/gshadow
身份鉴别	确保root是唯一的UID为0的帐户	除root以外其他UID为0的用户都应该删除，或者为其分配新的UID	高危	除root以外其他UID为0的用户(查看命令cat /etc/passwd | awk -F: '($3 == 0) { print $1 }'|grep -v '^root$' )都应该删除，或者为其分配新的UID
身份鉴别	检查密码长度和密码是否使用多种字符类型	检查密码长度和密码是否使用多种字符类型	高危	编辑/etc/security/pwquality.conf，把minlen（密码最小长度）设置为9-32位，把minclass（至少包含小写字母、大写字母、数字、特殊字符等4类字符中等3类或4类）设置为3或4。如： minlen=10 minclass=3
入侵防护	增大入侵者预测目的地址难度	它将进程的内存空间地址随机化来增大入侵者预测目的地址难度，从而降低进程被成功入侵的风险		执行命令：  sysctl -w kernel.randomize_va_space=2