某动项目服务器安全扫描整改配置

某动项目安全配置(centos7.5)

1、远程日志配置

修改配置文件/etc/syslog.conf，增加如下配置：
. @@x.x.x.x:514
. @@x.x.x.x:514
重启服务：
systemctl restart rsyslog.service

2、修改口令生存周期要求

vim /etc/login.defs
PASS_MAX_DAYS 90
PASS_MIN_DAYS 0
PASS_MIN_LEN 8
PASS_WARN_AGE 8

3、检查口令重复次数

1、执行备份：#cp -p /etc/pam.d/system-auth /etc/pam.d/system-auth_bak
2、创建文件/etc/security/opasswd，
并设置权限：#touch /etc/security/opasswd
#chown root:root /etc/security/opasswd
#chmod 600 /etc/security/opasswd
2、修改策略设置： 修改/etc/pam.d/system-auth,增加pam_unix.so的参数（如果有就不用加），类似如下： password sufficient pam_unix.so md5 shadow nullok try_first_pass use_authtok remember=5
或：password sufficient /lib/security/$ISA/pam_unix.so nullok use_authtok md5 shadow remember=5
补充操作说明：/etc/pam.d/system-auth文件中存在 passwordxxxremember=值大于等于5

4、检查口令策略设置是否符合复杂度要求

以下使用pam_passwdqc模块限制：
password required pam_passwdqc.so min=disabled,12,8,6,5 max=40 passphrase=3 match=4 similar=deny random=42 enforce=everyone retry=3
password sufficient pam_unix.so nullok use_authtok md5 shadow use_first_pass
上述这些规则其本质就是：
不接受任何单种字符类的口令；
对两种字符混合的密码，强制口令最小长度是12 位；
对口令字强制最小长度是8位；
对3种字符混合的密 码强制最小长度是6位；
4种字符混合的密码强制最小长度是5位。
所谓4种字符混合 的密码就是由“数 字”，“小写字母”，“大 写字母”，以及“其它字 符”组成（其它字符就是类 似“！”、“_”这种）。另外，上述这些规则同时还强制任何口令长度不得超过40位。
/etc/pam.d/system-auth文 件中minclass大于等于2， minlen大于等于8

5、登录超时设置

1、执行备份：
#cp -p /etc/profile /etc/profile_bak
#cp -p /etc/csh.cshrc /etc/csh.cshrc_bak
2、在/etc/profile文件增加以下两行：
#vi /etc/profile
TMOUT=180
export TMOUT
3、修改/etc/csh.cshrc文件，添加如下行：
set autologout=30
改变这项设置后，重新登录才能有效
补充操作说明：/etc/profile 文件中TMOUT值小于等于600或者/etc/csh.cshrc文件中autologout小于等于600

6、限制root远程登录

1、新建一个普通用户并设置高强度密码：
#useradd username
#passwd username
2、禁止root用户远程登录系：
#vi /etc/securetty 注释形如pts/x的行，保存退出，则禁止了root从telnet登录。
#vi /etc/ssh/sshd_config
修改PermitRootLogin设置为no并不被注释，保存退出， 则禁止了root从ssh登录。
重启sshd: systemctl restart sshd
补充操作说明：以下为测试telnet登录结果：/etc/pam.d/login /etc/seruretty 结果注释掉 存在文件，存在PTS 能登录 注释掉 存在文件，不存在PTS 不能登录 注释掉 不存在文件能登录，不注释 不存在文件能登陆，不注释，存在文件，不存在 PTS 不能登录 不注释 存在文件，存在PTS 能登录 /etc/ssh/sshd_config文件 中PermitRootLogin值为no， 并且/etc/security/user下 值为pts

7、口令锁定策略

#vi /etc/pam.d/system-auth
增加auth required pam_tally2.so deny=6 onerr=fail unlock_time=120 到第二行。保存退出；
补充操作说明：使配置生效需重启服务器。root帐户不在锁定范围内。帐户被锁定后，可使用faillog -u -r或pam_tally --user --reset 解锁。
/etc/pam.d/system-auth文 件中存在deny的值小于等于6

8、用户缺省UMASK配置

修改umask设置：
#vi /etc/profile
#vi /etc/csh.login
#vi /etc/csh.cshrc
#vi /etc/bashrc
#vi /root/.bashrc
#vi /root/.cshrc
将umask值修改为027，保存退出。
补充操作说明：umask设置不当可能导致某些应用无法正确自动创建目录或文件，从而运行异常。 /etc/profile文件中umask值 大于等于027

9、帐号文件权限设置

修改文件权限：
#chmod 0644 /etc/passwd
#chmod 0400 /etc/shadow
#chmod 0644 /etc/group
补充操作说明：/etc/passwd 权限为644，/etc/shadow权 限为400，/etc/group权限为 644