服务器基线配置项及配置方法

已于 2023-02-03 09:10:00 修改
阅读量7.2k 收藏 7
点赞数
分类专栏: 运维 文章标签: 运维 linux 安全 基线检查 漏洞
于 2022-04-02 21:44:36 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/smile_tianya/article/details/123929604
版权

01.检查系统openssh安全配置

配置要求

强烈建议系统放弃旧的明文登录协议,使用SSH防止会话劫持和嗅探网络上的敏感数据。

审计步骤

检查步骤

查看配置文件/etc/ssh/sshd_config,检查以下几个参数的配置值是否满足安全要求:

X11Forwarding   #x11转发功能,如果没有需要使用此功能的应用应该关闭该功能。

MaxAuthTries    #指定每个连接允许的身份验证尝试的最大数量。建议配置为4次或者更少。

IgnoreRhosts    #此参数将强制用户在使用SSH进行身份验证时输入密码,建议开启开功能。

HostbasedAuthentication #开启主机认证,建议关闭该功能。

PermitEmptyPasswords #允许空密码登录,建议关闭该功能

合规标准

1、关闭x11转发功能;

2、单个连接允许的最大身份验证尝试次数不大于4次;

3、开启使用ssh进行身份验证时,强制输入密码功能;

4、关闭主机认证功能;

5、关闭允许空密码登录功能;

以上5个条件同时满足时则合规,否则不合规。

加固方案:

编辑配置文件/etc/ssh/sshd_config,修改下面几个参数的值:

vim /etc/ssh/sshd_config
X11Forwarding no

MaxAuthTries 4

IgnoreRhosts yes

HostbasedAuthentication no

PermitEmptyPasswords no

重启ssh服务

systemctl restart sshd

02.检查是否设置命令行界面超时退出

理论依据

对于具备字符交互界面的设备,应配置定时帐户自动登出,避免管理员忘记注销登录,减少安全隐患。

配置要求

设置命令行界面登录后300s内无任何操作自动登出。

审计步骤

查看/etc/profile文件中是否配置超时设置

cat /etc/profile |grep -i TMOUT

合规标准

命令行界面超时自动登录时间设置为不大于300s则合规,否则不合规。

加固方案

执行备份

cp -p /etc/profile /etc/profile_bak

在/etc/profile文件中增加如下两行(存在则修改,不存在则添加):

vim /etc/profile
TMOUT=300

export TMOUT

执行以下命令使TMOUT参数立即生效

source /etc/profile

03.检查是否删除了潜在危险文件

理论依据

限制.rhosts、.netrc和/etc/hosts.equiv文件的使用。r系列命令使用这些文件来访问系统。

配置要求

.rhosts,.netrc,hosts.equiv等文件都具有潜在的危险,如果没有应用,应该删除。

审计步骤

检查步骤, 使用locate命令查看系统是否存在如下文件".rhost、.netrc、hosts.equiv"

locate .rhost

locate .netrc

locate hosts.equiv

合规标准

系统不存在".rhost、.netrc、hosts.equiv"这三个文件则合规,否则不合规。

加固方案

此项检查若不合规,请使用rm命令删除如下三个文件:

.rhost、.netrc、hosts.equiv

04.检查用户目录缺省访问权限设置

理论依据

为umask设置一个非常安全的默认值,确保用户对其文件权限做出一个有意识的选择。

配置要求

控制用户缺省访问权限,当在创建新文件或目录时,应屏蔽掉新文件或目录不应有的访问允许权限,防止同属于该组的其它用户及别的组的用户修改该用户的文件或更高限制。
 

检查步骤

查看文件/etc/profile,是否设置文件目录缺省权限。

合规标准

/etc/profile文件末尾存在umask 027,则合规,否则为不合规。

加固方案

vim /etc/profile
umask 027
source  /etc/profile

05.检查是否设置口令更改最小间隔天数

理论依据

通过限制密码更改的频率,管理员可以防止用户重复更改密码,从而避免密码重用控制。

配置要求

建议将参数PASS_MIN_DAYS设置为不小于7天。


检查步骤

查看文件/etc/login.defs,检查如下参数值是否满足要求:

PASS_MIN_DAYS

合规标准

PASS_MIN_DAYS不小于7天则合规,否则不合规。

加固方案

执行备份:

cp -p /etc/login.defs /etc/login.defs_bak

修改策略设置,编辑文件/etc/login.defs,在文件中加入如下内容(如果存在则修改,不存在则添加):

vim /etc/login.defs
PASS_MIN_DAYS 7

06.检查是否设置口令生存周期

理论依据

攻击者利用网络暴力攻击的机会,通过网络暴力攻击的机会窗口,受到密码生存周期的限制。因此,减少密码的最大年龄也会减少攻击者的机会窗口。


配置要求

建议将PASS_MAX_DAYS参数设置为小于或等于90天。

检查步骤

查看文件/etc/login.defs,检查如下参数值是否满足要求:

PASS_MAX_DAYS

合规标准

PASS_MAX_DAYS不大于90则合规,否则不合规。


加固方案

执行备份

cp -p /etc/login.defs /etc/login.defs_bak

修改策略设置,编辑文件/etc/login.defs,在文件中加入如下内容(如果存在则修改,不存在则添加):

PASS_MAX_DAYS   90

07.检查是否禁止root用户远程登录

理论依据

在SSH上不允许root登录,需要服务器管理员使用自己的帐户进行身份验证,然后通过sudo或su升级到根,这反过来限制了不可抵赖的机会,并在发生安全事件时提供了清晰的审计线索

配置要求

限制具备超级管理员权限的用户远程登录,远程执行管理员权限操作,应先以普通权限用户远程登录后,再切换到超级管理员权限账号后执行相应操作。

检查步骤

1、查看文件/etc/ssh/sshd_config,是否存在拒绝root用户通过SSH协议远程登录的配置。

2、执行以下命令查看ssh协议版本是否为2。

grep  -v "^[[:space:]]*#" /etc/ssh/sshd_config|grep -i "^protocol"


合规标准

ssh协议拒绝root用户远程登录,且使用的是协议SSH 2则合规,否则不合规。

加固方案

执行备份:

cp -p /etc/ssh/sshd_config /etc/ssh/sshd_config_bak

新建一个普通用户并设置高强度密码(防止设备上只存在root用户可用时,无法远程访问):

useradd chiyi

passwd chiyi

添加 sudo 权限

修改文件为可写

chmod u+w /etc/sudoers

 修改配置文件

vim /etc/sudoers
chiyi            ALL=(ALL)             NOPASSWD:ALL

修改文件为只可读

chmod u-w /etc/sudoers

禁止root用户远程登录系统

修改文件为可写

chmod u+w /etc/ssh/sshd_config

修改配置文件

vim /etc/ssh/sshd_config
PermitRootLogin no

修改文件为只可读

chmod u-w /etc/ssh/sshd_config

 重启SSH服务

systemctl restart sshd


 

协享科技
关注
  • 0
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
Linux服务器安全配置基线
weixin_44147924的博客
01-09 1761
在系统的每个地方都要查看一下有没有异常隐含文件(点号是起始字符的,用“ls”命令看不到的文件),因为这些文件可能是隐藏的黑客工具或者其它一些信息(口令破解程序、其它系统的口令文件,等等)。要求:锁定的用户为daemon、bin、sys、nuucp、lpd、imnadm、ipsec、ldap、nobody、snapp、invscout、Adm、lp、sync、shutdown、halt、news、uucp、operator、games等系统默认账户。4、执行:awk -F: '($2 == "!
SSH普通用户HostbasedAuthentication配置
wjcaiyf的专栏
07-21 3921
一: 环境如下 1. 系统及ssh版本如下 test1:~ # cat /etc/os-release NAME="SLES" VERSION="12-SP1" VERSION_ID="12.1" PRETTY_NAME="SUSE Linux Enterprise Server 12 SP1" ID="sles" ANSI_COLOR="0;32" CPE_NAME="cpe:/o:sus
SSH访问报错:ssh_exchange_identification: read: Connection reset by peer、Permission denied (publickey,key
刘元林的博客
12-01 5568
一般是因为源地址限制导致的客户端和服务端认证方法不匹配,最后定位因为是server端使用了keyboard-interactive认证方法,而客户端只有password,publickey。修改server上的sshd_config将AuthenticationMethods注释掉使用默认,或者配置成和客户端使用的一致。
Linux 服务器基线配置
最新发布
qq_28776313的博客
04-06 265
通过以上步骤,我们对Linux服务器进行了基线加固,从而提高了服务器的安全性。然而,网络安全问题是一个不断发展和变化的领域,因此我们需要不断更新自己的知识,并采取适当的措施来保护我们的服务器。作为服务器管理员,保障服务器的安全性是至关重要的。在Linux服务器上运行许多服务,但并不是所有服务都是必需的。在Linux服务器上运行的每个用户都应该只有必要的权限,这有助于减少潜在的安全漏洞。首先,我们需要更新系统和软件包,以确保系统中存在的漏洞被修复。然后找到以下行并将其更改为“no”:​​​​​​​。
windows服务器基线安全(等保要求)
weixin_45574151的博客
03-01 3684
windows服务器基线安全(等保要求参考 ) 下图是扫描出来的需要做基线的选项 加固建议都已经贴出来了,按照这个参考可以合格,有部分需要人工现场核实确认,这个要根据具体需求操作。 1、防火墙TCP\IP筛选配置 1.进入“控制面板”->“网络连接”->“本地连接”; 2.进入“Internet协议(TCP/IP)->属性”->“高级->TCP/IP设置”; 3.在“选项”的属性中启用网络连接上的TCP/IP筛选,只开放业务所需要的TCP,UDP端口和IP协议。 2、
ssh(openssh)小记
11-21 44
SSH(Secure Shell)具有客户端/服务器体系结构。OpenSSH支持SSH协议1和协议2,本文忽略前者。 ssh 客户端 ~/.ssh/config /etc/ssh/ssh_config sshd 服务器 /etc/ssh/sshd_config 认证(Auth...
Linux访问身份验证和授权
cainiao17441898的博客
11-23 4187
文章目录SSH服务配置补充设置是否使用基于主机的验证禁止解析SSH环境变量使用经过校验的MAC算法设置登录SSH提示信息配置PAM密码安全策略创建一定强度的密码 SSH服务配置补充 设置是否使用基于主机的验证 描述: HostbasedAuthentication参数指定是否允许可信主机通过rhosts或/etc/hosts. equiv胪进行身份验证以及成功的公钥落户机主机身份验证。此选项只适用于SSH V2版本。 配置: 编辑/etc/ssh/sshd_ config文件来设置如下所示参数: Host
OpenSSH主机认证(Host-based Authentication)配置方法
jibing57的学习摘录
04-23 8843
转自:http://blog.jianingy.com/2009/10/ 主机认证的设置上并不复杂,考虑全面就能很容易搞定。我们还是先来简单描述下环境。这里我们假设主机admin是管理节点,我们的目标是admin上的所有用户都能通过主机认证从admin节点上登陆其他机器而不需要输入密码。首先,来看看需要修改的文件有那些以及他们各自的作用。 •   admin上的/etc/ssh/ssh
linux基线配置核查
Cookie_1030的专栏
05-17 2206
1.检查是否设置命令行界面超时退出 [root@web01-10 ~]# cat /etc/profile | grep TMOUT TMOUT=600 2.检查是否设置口令生存周期和过期前警告天数 [root@web01-10 ~]# cat /etc/login.defs | grep PASS # PASS_MAX_DAYS Maximum number of days a password may be used. # PASS_MIN_DAYS Minimum number of day
Linux安全基线配置全解析
关注微信公众号【开源Linux】,后台回复『10T』,领取10T学习资源大放送,涵盖Linux、虚拟化、容器、云计算、网络、Python、Go等书籍和视频
04-12 2311
来自:https://blog.csdn.net/chj_1224365967/article/details/114589867现在大多数企业都是使用linux作为服务器,不仅是linux是开源系统,更是因为linux比windows更安全。但是由于管理员的安全意识不全或者疏忽,导致linux的敏感端口和服务没有正确的配置,可能会被恶意利用,所以需要进行基线加固。1.基线即安全基线配置,诸如操作...
linux下安全基线配置
Bertram的博客
03-09 4664
目录 1.基线 2.基线扫描 3.基线加固自动化脚本的编写 1.检查是否设置口令更改最小间隔天数 2.检查是否设置口令过期前警告天数 3.检查口令生存周期 4.检查口令最小长度 5.检查是否设置grub,lilo密码 6.检查是否设置core 7.检查系统是否禁用ctrl+alt+del组合 8.检查保留历史记录文件的大小与数量 9.检查是否使用PAM认证模块禁止wheel组之外的用户su为root 10.检查是否删除了/etc/issue.net文件 11.是否删除与设备运行.
IIS服务器安全配置基线.doc
06-07
IIS服务器安全配置基线 中国移动通信有限公司 管理信息系统部 2012年 04月 "版本 "版本控制信息 "更新日期 "更新人 "审批人 " "V1.0 "创建 "2009年1月 " " " "V2.0 "更新 "2012年4月 " " " " " " " " " " " " " " " ...
TomcatWeb服务器安全配置基线.doc
06-07
Tomcat Web服务器安全配置基线 中国移动通信有限公司 管理信息系统部 2012年 04月 "版本 "版本控制信息 "更新日期 "更新人 "审批人 " "V1.0 "创建 "2009年1月 " " " "V2.0 "更新 "2012年4月 " " " " " " " " " " " ...
操作系统安全基线.xlsx
06-22
共13项,适用于centos 7+(注意:部分配置完成后需要重启服务/系统),,,, 序号,控制点,基线要求,操作指南,检测方法 1,补丁管理,应及时更新系统补丁,根据组织的信息安全策略要求,为系统安装系统安全补丁,"1、 判定...
koa-baseline:使用ES6进行Koa的基准安装
02-03
使用Typescript进行基线安装。 包含什么 打字稿的编译,测试和整理 柴摩卡 安装 使用git clone --depth=1 https://github.com/ryanlewis/koa-baseline.git克隆此存储库git clone --depth=1 ...
Windows系统安全配置基线-主要针对于服务器,也可用于普通机器
为了生活,不得不努力奋斗!
03-02 172
一:共享账号检查 配置名称:账号分配检查,避免共享账号存在 配置要求: 1、系统需按照实际用户分配账号; 2、根据系统的使用需求,设定不同的账户和账户组,包括管理员用户,数据库用户,审计用户,来宾用户等; 3、避免出现共享账号情况; 操作指南:参考配置操作(适用2000、2003) ”控制面板->管理工具->计算机管理-&gt...
Apache服务器安全配置基线
Yanug
09-14 855
1.适用情况 适用于使用Apahce进行部署的Web网站。 2.技能要求 熟悉Apache配置文件,能够利用Apache进行建站,并能针对站点使用Apache进行安全加固。 3.前置条件 1、根据站点开放端口,进程ID,确认站点采用Apache进行部署; 2、找到Apache配置文件 4.详细操作 4.1禁止目录浏览 (1)备份httpd.conf配置文件,修改内容: Options Follow...
Linux实验 ssh配置详解
weixin_30912051的博客
08-30 833
一、ssh详解 1、什么是ssh 简单来说,ssh是一种网络协议,用于计算机之间的加密登录。 如果一个用户从本地计算机,使用ssh协议登录另一台远程计算机,我们就可以认为,这种登录是安全的,即使被中途截获,密码也不会泄露。 需要指出的是,ssh只有一种协议,存在多种实现,既有商业实现,也有开源实现。 2、基本用法 (1)使用某个用户(例如user)...
类的缺省访问权限c++
05-14
在 C++ 中,类的成员函数和成员变量有三种访问权限:public(公有)、private(私有)和protected(保护)。默认情况下: - 成员函数和成员变量的默认访问权限是 private。 - 派生类的默认继承方式是 private。 因此,如果没有显式地指定成员函数或成员变量的访问权限,则它们默认为 private。例如: ```c++ class MyClass { int a; // 默认为 private void func(); // 默认为 private }; ``` 如果想要将成员函数或成员变量指定为 public 或 protected,可以使用关键字 public 或 protected。例如: ```c++ class MyClass { public: int b; // public void func1(); // public protected: int c; // protected void func2(); // protected private: int a; // private void func3(); // private }; ``` 需要注意的是,派生类的访问权限取决于继承方式。如果继承方式为 public,则基类的 public 成员和 protected 成员在派生类中都是 public 成员;如果继承方式为 protected,则基类的 public 成员和 protected 成员在派生类中都是 protected 成员;如果继承方式为 private,则基类的 public 成员和 protected 成员在派生类中都是 private 成员。例如: ```c++ class Base { public: int a; // public protected: int b; // protected private: int c; // private }; class Derived1 : public Base { // a 和 b 在 Derived1 中都是 public // c 在 Derived1 中是不可访问的 }; class Derived2 : protected Base { // a 和 b 在 Derived2 中都是 protected // c 在 Derived2 中是不可访问的 }; class Derived3 : private Base { // a 和 b 在 Derived3 中都是 private // c 在 Derived3 中是不可访问的 }; ```

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

协享科技

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值