--------------------------------------内容已经在下面请各位享用-------------------------------------------
国际基线常见服务器加固常见办法
确保配置了密码尝试失败的锁定
描述
连续n次失败登录尝试后锁定用户。
处理建议 (处理时请先做备份)
编辑/etc/pam.d/password-auth 和/etc/pam.d/system-auth 文件,以符合本地站点策略: auth required pam_faillock.so preauth audit silent deny=5 unlock_time=900 auth [success=1 default=bad] pam_unix.so auth [default=die] pam_faillock.so authfail audit deny=5 unlock_time=900 auth sufficient pam_faillock.so authsucc audit deny=5 unlock_time=900
确保在/dev/shm分区上设置noexec选项
描述
noexec挂载选项指定文件系统不能包含可执行二进制文件。
处理建议 (处理时请先做备份)
编辑/etc/fstab文件并将noexec添加到/dev/shm分区的第四个字段 运行以下命令重新挂载/dev/shm: #mount -o remount,noexec /dev/shm
确保定期检查文件系统完整性
描述
需要定期检查文件系统的完整性以检测文件系统的更改。
处理建议 (处理时请先做备份)
运行以下命令: # crontab -u root -e 将以下行添加到crontab中: 0 5 * * * /usr/sbin/aide --check
确保配置了bootloader配置的权限
描述
grub配置文件包含有关引导设置的信息以及用于解锁引导选项的密码。
处理建议 (处理时请先做备份)
运行以下命令来设置对grub配置的权限: # chown root:root /boot/grub2/grub.cfg # chmod og-rwx /boot/grub2/grub.cfg
确保核心转储受到限制
描述
核心转储是可执行程序的内存。通常用于确定程序为何中止。它还可以用于从核心文件中收集机密信息。
处理建议 (处理时请先做备份)
将以下行添加到/etc/security/limits.conf或/etc/security/limits.d/*文件中: * hard core 0 在/etc/sysctl.conf或/etc/sysctl.d/*文件中设置以下参数: fs.suid_dumpable = 0 运行以下命令来设置活动内核参数: # sysctl -w fs.suid_dumpable=0
确保启用了地址空间布局随机化(ASLR)
描述
地址空间布局随机化(ASLR)是一种漏洞利用缓解技术,它可以随机排列进程的关键数据区域的地址空间。
处理建议 (处理时请先做备份)
在/etc/sysctl.conf或/etc/sysctl.d/*文件中设置以下参数: kernel.randomize_va_space = 2 运行以下命令来设置内核参数: # sysctl -w kernel.randomize_va_space=2
确保禁用了数据包重定向发送
描述
ICMP重定向用于将路由信息发送到其他主机。由于主机本身不充当路由器(在仅主机配置中),因此无需发送重定向。
处理建议 (处理时请先做备份)
在/etc/sysctl.conf或/etc/sysctl.d/*文件中设置以下参数: net.ipv4.conf.all.send_redirects = 0 net.ipv4.conf.default.send_redirects = 0 运行以下命令来设置活动的内核参数: # sysctl -w net.ipv4.conf.all.send_redirects=0 # sysctl -w net.ipv4.conf.default.send_redirects=0 # sysctl -w net.ipv4.route.flush=1
确保不接受源路由数据包
描述
在网络中,源路由允许发送者部分或完全指定通过网络的路由数据包。相反,非源路由数据包将通过网络中的路由器确定的路径。
处理建议 (处理时请先做备份)
在/etc/sysctl.conf或/etc/sysctl.d/*文件中设置以下参数: net.ipv4.conf.all.accept_source_route = 0 net.ipv4.conf.default.accept_source_route = 0 运行以下命令来设置活动的内核参数: # sysctl -w net.ipv4.conf.all.accept_source_route=0 # sysctl -w net.ipv4.conf.default.accept_source_route=0 # sysctl -w net.ipv4.route.flush=1
确保不接受ICMP重定向
描述
ICMP重定向消息是传递路由信息并告诉主机(充当路由器)通过备用路径发送数据包的数据包。这是一种允许外部路由设备更新系统路由表的方法。通过设置net.ipv4.conf.all.accept_redirects为0,系统将不接受任何ICMP重定向消息,因此,不允许外部人员更新系统的路由表。
处理建议 (处理时请先做备份)
在/etc/sysctl.conf或/etc/sysctl.d/*文件中设置以下参数: net.ipv4.conf.all.accept_redirects = 0 net.ipv4.conf.default.accept_redirects = 0 运行以下命令来设置活动的内核参数: # sysctl -w net.ipv4.conf.all.accept_redirects=0 # sysctl -w net.ipv4.conf.default.accept_redirects=0 # sysctl -w net.ipv4.route.flush=1
确保不接受secure ICMP重定向
描述
secure ICMP重定向与ICMP重定向相同,只是它们来自默认网关列表上列出的网关。
处理建议 (处理时请先做备份)
在/etc/sysctl.conf或/etc/sysctl.d/*文件中设置以下参数: net.ipv4.conf.all.secure_redirects = 0 net.ipv4.conf.default.secure_redirects = 0 运行以下命令来设置活动的内核参数: # sysctl -w net.ipv4.conf.all.secure_redirects=0 # sysctl -w ne