Linux服务器基线配置及加固建议

最新推荐文章于 2024-08-21 10:29:54 发布
最新推荐文章于 2024-08-21 10:29:54 发布
阅读量3.3k 收藏 16
点赞数
分类专栏: linux基础 防火墙知识 文章标签: linux服务器 基线检测 安全策略

Centos7系统基线合规检测

检查项: 系统crontab权限设置
加固建议: 依次执行:rm -f /etc/cron.deny ;rm -f /etc/at.deny touch /etc/cron.allow touch /etc/at.allow chmod 0600 /etc/cron.allow chmod 0600 /etc/at.allow

检查项: 禁止转发ICMP重定向报文
加固建议: 执行sysctl -w net.ipv4.conf.all.send_redirects=0,再查看/etc/sysctl.conf中是否存在net.ipv4.conf.all.send_redirects=0,不存在则添加

检查项: 禁止转发ICMP重定向报文
加固建议: 执行sysctl -w net.ipv4.conf.default.send_redirects=0,再查看/etc/sysctl.conf中是否存在net.ipv4.conf.default.send_redirects=0,不存在则添加

检查项: 禁止包含源路由的ip包
加固建议: 执行sysctl -w net.ipv4.conf.all.accept_redirects=0,再查看/etc/sysctl.conf中是否存在net.ipv4.conf.all.accept_redirects=0,不存在则添加

检查项: 禁止包含源路由的ip包
加固建议: 执行sysctl -w net.ipv4.conf.default.accept_redirects=0,再查看/etc/sysctl.conf中是否存在net.ipv4.conf.default.accept_redirects=0,不存在则添加

检查项: 禁止转发安全ICMP重定向报文
加固建议: 执行sysctl -w net.ipv4.conf.all.secure_redirects=0,再查看/etc/sysctl.conf中是否存在net.ipv4.conf.all.secure_redirects=0,不存在则添加

检查项: 禁止转发安全ICMP重定向报文
加固建议: 执行sysctl -w net.ipv4.conf.default.secure_redirects=0,再查看/etc/sysctl.conf中是否存在net.ipv4.conf.default.secure_redirects=0,不存在则添加

检查项: 禁止ipv6路由广播
加固建议: 执行sysctl -w net.ipv6.conf.all.accept_ra=0,再查看/etc/sysctl.conf中是否存在net.ipv6.conf.all.accept_ra=0,不存在则添加

检查项: 禁止ipv6路由广播
加固建议: 执行sysctl -w net.ipv6.conf.default.accept_ra=0,再查看/etc/sysctl.conf中是否存在net.ipv6.conf.default.accept_ra=0,不存在则添加

检查项: 禁止ipv6路由重定向
加固建议: 执行sysctl -w net.ipv6.conf.all.accept_redirects=0,再查看/etc/sysctl.conf中是否存在net.ipv6.conf.all.accept_redirects=0,不存在则添加

检查项: 禁止ipv6路由重定向
加固建议: 执行sysctl -w net.ipv6.conf.default.accept_redirects=0,再查看/etc/sysctl.conf中是否存在net.ipv6.conf.default.accept_redirects=0,不存在则添加

检查项: 密码授权新密码与老密码不能重复
加固建议: 在/etc/pam.d/password-auth中添加:password sufficient pam_unix.so remember=3 ,remember的值表示此次设置密码与过去3次不同

检查项: 系统授权新密码与老密码不能重复
加固建议: 在/etc/pam.d/system-auth中添加:password sufficient pam_unix.so remember=3 ,remember的值表示此次设置密码与过去3次不同

检查项: rsyslog日志文件权限配置
加固建议: 在/etc/rsyslog.conf中添加:$FileCreateMode 0640

检查项: 禁止root直接登录
加固建议: 注意:在修改此项之前,请务必创建一个可登陆账号;在/etc/ssh/sshd_config中PermitRootLogin的值:yes设置为no

检查项: 默认登录端口检测
加固建议: 在/etc/ssh/sshd_config中取消Port 22注释符号#,并修改22为其它值

检查项: SSHD强制使用V2安全协议
加固建议: 在/etc/ssh/sshd_config中取消Protocol注释符号#

检查项: SSHD仅记录ssh用户登录活动
加固建议: 在/etc/ssh/sshd_config中取消LogLevel INFO注释符号#

检查项: SSHD仅记录ssh用户登录活动
加固建议: 在/etc/ssh/sshd_config中取消MaxAuthTries注释符号#,设置自定义最大密码尝试失败次数

检查项: 清理主机远程登录历史主机记录
加固建议: 在/etc/ssh/sshd_config中取消IgnoreRhosts yes注释符号#

检查项: 禁止主机认证登录
加固建议: 在/etc/ssh/sshd_config中取消HostbasedAuthentication no注释符号#

检查项: 禁止空密码用户登录
加固建议: 在/etc/ssh/sshd_config中取消PermitEmptyPasswords no注释符号#

检查项: 禁止用户修改环境变量
加固建议: 在/etc/ssh/sshd_config中取消PermitUserEnvironment no注释符号#

检查项: 设置输入密码间隔时间
加固建议: 在/etc/ssh/sshd_config中取消LoginGraceTime前注释符,同时设置输入密码时间间隔秒数

检查项: 设置用户密码最小长度
加固建议: 在/etc/security/pwquality.conf中取消minlen注释符号#,同时设置最小密码长度建议10位以上

检查项: 设置用户密码数字位数
加固建议: 在/etc/security/pwquality.conf中取消dcredit注释符号#,同时设置为负数建议-1最少包含1位数字

检查项: 设置用户密码大写字母位数
加固建议: 在/etc/security/pwquality.conf中取消ucredit注释符号#,同时设置为负数建议-1最少包含1位大写字母

检查项: 设置用户密码小写字母位数
加固建议: 在/etc/security/pwquality.conf中取消lcredit注释符号#,同时设置为负数建议-1最少包含1位小写字母

检查项: 设置用户密码特殊字符位数
加固建议: 在/etc/security/pwquality.conf中取消ocredit注释符号#,同时设置为负数建议-1最少包含1位特殊字符

检查项: 强制密码失效时间
加固建议: 在/etc/login.defs 设置强制密码失效时间,建议值365

检查项: 密码修改最小间隔时间
加固建议: 在/etc/login.defs 设置密码修改最小间隔时间,建议值7

检查项: 设置有密码账户不活动最大时间
加固建议: 使用如下命令设置有密码账户不活动最大时间值:useradd -D -f 1095,建议值1095天

检查项: 检查/boot/grub2/grub.cfg文件ACL属性
加固建议: 执行:chmod 0600 /boot/grub2/grub.cfg

检查项: 检查/etc/crontab文件ACL属性
加固建议: 执行:chmod 0600 /etc/crontab

检查项: 检查/etc/cron.hourly文件ACL属性
加固建议: 执行:chmod 0600 /etc/cron.hourly

检查项: 检查/etc/cron.daily文件ACL属性
加固建议: 执行:chmod 0600 /etc/cron.daily

检查项: 检查/etc/cron.weekly 文件ACL属性
加固建议: 执行:chmod 0600 /etc/cron.weekly

检查项: 检查/etc/cron.monthly 文件ACL属性
加固建议: 执行:chmod 0600 /etc/cron.monthly

检查项: 检查/etc/cron.d 文件ACL属性
加固建议: 执行:chmod 0600 /etc/cron.d

memcached基线检测

检查项: memcached启动权限检测
当前值: root
加固建议: 创建memcached低权限账号(例如:useradd memcached),并在memcached启动时加上-u memcached。注意:在切换低权限账户启动时,需要将memcached文件目录使用chown -R memcached:memcached修改上述目录权限

SSH登录基线检测

检测项目: port
建议 : 修改登录端口为非默认22端口
检测项目: permitrootlogin
建议值: 设置为no
建议 : 没有必要使用root用户通过SSH远程登录,普通用户可以通过su或sudo(推荐)获得root级别的访问权

密码策略合规检测

检测项目: 密码最长使用时间
建议: 在/etc/login.defs 设置密码最长使用时间,建议值1095
检测项目: 密码修改最小间隔时间
建议: 在/etc/login.defs 设置密码修改最小间隔时间,建议值7
检测项目: 设置有密码账户不活动最大时间
建议: 使用如下命令设置有密码账户不活动最大时间值:useradd -D -f 1095,建议值1095
7*24 工作者
关注
专栏目录
基线加固
Love_Naive的博客
08-31 2929
基线加固基线加固概念基线加固常用脚本 基线加固概念 基线: 即安全基线配置,诸如操作系统、中间件和数据库的一个整体配置,这个版本中各项配置都符合安全方面的标准。 比如在系统安装后需要按安全基线标准,将新机器中各项配置调整到一个安全、高效、合理的数值。 基线扫描: 使用自动化工具、抓取系统和服务的配置项。将抓取到的实际值和标准值进行对比,将不符合的项显示出来,最终以报告 的形式体现出扫描结果有的工具将配置采集和配置对比分开,通过自动化脚本采集配置后再通过特别的软件转换为适合人类阅读的文档 安全加固s
linux服务器基线配置
qq_41791231的博客
06-04 5474
linux服务器基线配置 账号 1 为不同用户创建不同账号: #useradd username #创建账号 #passwd username #设置密码 #chmod 750 directory #其中750为设置的权限,可根据实际情况 检测方法: 判定条件 能够登录成功并且可以进行常用操作; 检测操作 使用不同的账号进行登录并进行一些常用操作; 2 删除或锁定与设...
Linux 安全基线检查加固_linux基线加固
最新发布
baimao__Ch的博客
08-21 636
umask值(用户文件创建掩码)是在Linux和其他类Unix系统中使用的一个重要概念,用于控制用户在创建新文件或目录时,默认赋予这些文件或目录的权限。umask是一个由三个八进制数字组成的值,分别对应文件或目录的用户(owner)、组(group)、其他人(others)的权限位。每个数字分别代表要从默认的最大权限中移除的权限位。在八进制表示中,数字4表示读权限(r),2表示写权限(w),1表示执行权限(x),而0表示没有任何权限。
Linux 服务器安全加固的小建议
04-12 387
原文地址:Linux Server Security Harding Tips by Cyberciti.biz   分类:安全 标签:备份、禁止root用户登录、加密、文件完整性、防火墙、GUID、加固、入侵检测(IDS,Intrusion Detection System)、侵入保护(IPS)、iptables、Linux、登录、密码、物理安全、策略、防护、配额、安全、独立分区、服务器
系统安全配置技术规范-Linux基线加固
05-28
人工评估(手工检查)是对工具评估的一种补充, 它不需要在被评估目标系统上安装任何软件,对目标系统的运行和状态没有任何影响,在不允许安装软件进行检查的重要主机上显得非常有用。安全专家对各主机系统服务器、业务系统、数据库以及各种应用服务器在内的目标系统进行人工评估。
Linux系统基线加固脚本
04-25
Linux系统基线加固脚本
等保2.0测评 linux服务器加固 基本安全配置手册.docx
12-25
等保2.0测评 Linux 服务器加固基本安全配置手册 Linux 服务器加固是等保2.0测评的重要组成部分,本手册提供了基本的安全配置手册,旨在帮助管理员快速实现 Linux 服务器加固。下面是该手册中涵盖的知识点: 一、...
Linux服务器操作系统加固方法
09-15
本帮助手册旨在指导系统管理人员或安全检查人员进行Linux操作系统的安全合规性检查加固,需要的朋友可以参考下
linux安全加固基线操作手册
11-13
Centos6.8 作为服务器操作系统安全加固参考文档,涉及较多、较全
基线_安全基线加固课程介绍
weixin_39621075的博客
11-22 338
点击上方“信安前线” 可订阅安全基线加固课程介绍课程概述随着互联网应用的纵深演进,网络安全的概念已经不仅仅限于单一的安全产品和技术,而是涉及到企业和组织范围内网络体系各个层面的动态防护与安全管理。为了让用户能够充分了解到自身内部的安全威胁和风险,以便能够进行完善的安全体系保障建设,遂推出安全基线加固课程。本课程主要讲解常见的操作系统、中间件、数据库、网络设备、安全设备安全基线加固。培训...
04-阿里云标准-Ubuntu安全基线检查
03-25
04-阿里云标准-Ubuntu安全基线检查
操作系统基线管理
03-14
电信网和互联网安全防护基线-配置要求及检测要求(操作系统分册)
基线安全与linux基线加固方法
pygain的博客
08-31 1万+
1.基线 即安全基线配置,诸如操作系统、中间件和数据库的一个整体配置,这个版本中各项配置都符合安全方面的标准。比如在系统安装后需要按安全基线标准,将新机器中各项配置调整到一个安全、高效、合理的数值。 2.基线扫描 使用自动化工具、抓取系统和服务的配置项。将抓取到的实际值和标准值进行对比,将不符合的项显示出来,最终以报告的形式体现出扫描结果
Ubuntu安全基线检查
咻一咻的博客
05-20 2127
高设置密码失效时间 | 身份鉴别 描述 设置密码失效时间,强制定期修改密码,减少密码被泄漏和猜测风险,使用非密码登录方式(如密钥对)请忽略此项。 加固建议 使用非密码登录方式如密钥对,请忽略此项。在 /etc/login.defs中将 PASS_MAX_DAYS 参数设置为 60-180之间,如: PASS_MAX_DAYS 90 需同时执行命令设置root密码失效时间: chage --maxdays 90 root 操作时建议做好记录或备份 高确保密码到期警告天数为7或更多 | 身份鉴别 描述 确保
网安等保-主机安全测评之Linux服务器Ubuntu-22.04-LTS操作系统安全加固制作基线系统脚本分享与实践...
WeiyiGeek 唯一极客IT知识分享
08-25 2024
关注WeiyiGeek每天带你玩转网络安全运维、应用开发、物联网IOT学习!0x00 前言简述0x01 加固实践📖 帮助文档🏃 脚本使用0x00 前言简述描述: Ubuntu 22.04 LTS 是Canonical于2022年4月21日发布的操作系统,代号为Jammy Jellyfish(果酱水母), 其采用GNOME电源配置文件和流线型工作空间过渡,提高优化图形驱动程序上的桌面帧速率,使用新的加密算法迁移到OpenSSL v3以提高安全性,并且为内存安全的系统级编程添加了Rus。.........
centos7系统安全基线配置脚本
weixin_48229959的博客
10-02 233
【代码】centos7系统安全基线配置脚本。
内核参数-安全加固项 for 银河麒麟高级服务器操作系统 V10 SP3
weixin_53704976的博客
09-08 856
麒麟服务器操作系统进行安全加固时,在内核层面可以配置加固的项
Linux - 网络性能评估
热门推荐
小工匠
03-07 2万+
网络性能的好坏直接影响应用程序对外提供服务的稳定性和可靠性。网络性能可以从以下几个方面进行管理和优化。
帮我写一篇Linux服务器的安全加固基线文档
03-30
Linux服务器的安全加固基线文档 一、系统配置 1. 禁止root远程登录 在/etc/ssh/sshd_config文件中,将PermitRootLogin设置为no。 2. 关闭不必要的服务 使用命令systemctl stop/ disable服务名,停止并禁用不必要的服务,如FTP、Telnet等。 3. 安装必要的安全软件 安装防火墙、入侵检测系统、安全审计系统等安全软件,并进行配置。 4. 配置系统日志 在/etc/rsyslog.conf文件中,配置系统日志,将其发送到远程日志服务器,并配置日志轮转。 5. 禁止IP伪造 在/etc/sysctl.conf文件中,配置net.ipv4.conf.all.rp_filter和net.ipv4.conf.default.rp_filter为1,禁止IP伪造。 6. 关闭不必要的端口 使用命令iptables或firewalld关闭不必要的端口,只开放必要的端口。 二、用户账户 1. 禁用不必要的账户 删除或禁用不必要的账户,如guest、demo等。 2. 强制密码策略 在/etc/login.defs文件中,配置密码策略,设置密码复杂度、密码长度、密码过期时间等。 3. 限制用户登录 在/etc/security/limits.conf文件中,配置用户登录限制,如最大登录次数、最大连接数等。 4. 禁止密码空登录 在/etc/ssh/sshd_config文件中,将PermitEmptyPasswords设置为no,禁止密码空登录。 三、文件系统 1. 安装必要的补丁 定期更新系统补丁,修复已知漏洞。 2. 配置文件权限 使用命令chmod和chown配置文件权限,确保只有必要用户有访问权限。 3. 禁止执行不必要的脚本 在/etc/fstab文件中,配置noexec选项,禁止执行不必要的脚本。 4. 配置访问控制 在/etc/hosts.allow和/etc/hosts.deny文件中,配置访问控制,限制对文件系统的访问。 四、网络安全 1. 使用SSL证书 使用SSL证书加密网络传输,防止中间人攻击。 2. 配置网络访问控制 使用iptables或firewalld配置网络访问控制,限制对服务器的访问。 3. 禁止ping 在/etc/sysctl.conf文件中,配置net.ipv4.icmp_echo_ignore_all为1,禁止ping。 4. 安装安全证书 安装安全证书,确保网络传输的安全性。 总结 通过以上措施,可以有效提高Linux服务器的安全性,减少被攻击的风险。但是,需要注意的是,安全加固是一个持续的过程,需要定期检查和更新。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值