基线管理之centos安全配置
1.检查不用的链接:ip link show up
如果有需要关闭的接口,可以使用:ip link set down
2.关闭IP转发
先查看ip转发配置:sysctl net.ipv4.ip_forward
查看为0,如果为1,用命令改为0:sysctl -w net.ipv4.ip_forward=0
3.关闭数据包重定向设置
查看数据包重定向设置:sysctl net.ipv4.conf.all.send_redirects
查看为1,改为0:sysctl -w net.ipv4.conf.all.send_redirects=0
4.开启SYN cookies设置
查看配置:sysctl net.ipv4.tcp_syncookies
发现为1,已将开启。如果为0使用命令改为1:sysctl net.ipv4.tcp_syncookies=1
1.查看审计服务
查看服务是否开启:systemctl status auditd
开启命令为: systemctl start auditd
2.查看审计日志大小:cat /etc/audit/auditd.conf |grep max
查看并配置日志审计
1.查看日志文件权限,日志权限为600,仅root可读写:ls -l /var/log/
非600的文件,如wpa_supplicant.log 可以使用下面命令改为600:
chmod 600 /var/log/wpa_supplicant.log
查看
2.查看日志归档处理
确保存在/etc/logrotate.d/syslog文件,使用命令:ls /etc/logrotate.d/syslog
查看认证配置
1.检查ssh配置文件权限:
如图显示权限为644,建议改为600,使用以下命令:
chmod 600 /etc/ssh/ssh_config
2.配置允许SSH允许的验证失败次数
查看当前配置:
sshd -T |grep maxauthtries
如上图显示,默认为3次登录失败后断开连接。
可以修改/etc/ssh/sshd_config文件的MaxAuthTires值进行修改。
3.禁止空密码登录SSH
sshd -T | grep permitemptypasswords
4.查看SSH支持密码算法,确保没有md5 des等已经不安全的算法
sshd -T | grep ciphers
认证模块配置
1.密码强度配置
vim /etc/security/pwquality.conf
2.密码过期时间设置
查看过期时间
grep ^\s*PASS_MAX_DAYS /etc/login.defs
默认过期时间为9999天,修改相应文件即可修改过期时间
3.查看用户密码过期时间
grep -E '^[^:]+:[^!*]' /etc/shadow | cut -d: -f1,5
修改root用户过期时间
chage --maxdays 365 root
4. 自动禁用账号
useradd -D | grep INACTIVE