身份鉴别
- 问题:linux服务器未配置口令复杂度策略、口令长度策略和口令有效期策略。
- 修改:建议linux服务器配置口令复杂度策略、口令长度策略和口令有效期策略;口令复杂度策略可通过system-auth或pwquality.conf文件进行配置,口令包含大写字母、小写字母、数字和特殊字符中的三种及以上;口令长度策略可通过system-auth文件或login.defs文件进行配置,保证口令长度8位以上;口令有效期策略通过login.defs文件进行配置,要求口令90天以内更换一次。
- 操作:
- 远程登录阿里云服务器ECS
- 进入:cd/etc/pam.d/system-auth
- 找到:password requisite pam_pwquality.so try_first_pass local_users_only retry=3 authtok_type= 命令行
- 新增:minlen=8 lcredit=-1 ucredit=-1 dcredit=-1 ocredit=-1 difok=5 enforce_for_root
- 解释:
minlen=8
:最小长度为8位。ucredit=-1
:至少包含一个大写字母。lcredit=-1
:至少包含一个小写字母。dcredit=-1
:至少包含一个数字。ocredit=-1
:至少包含一个特殊字符。- difok=5:最多允许连续五个字符不匹配。
- enforce_for_root:如果被设为
yes
或者不提供,则意味着这个密码策略(比如minlen=8
、lcredit=-1
等)会强制应用于 root 用户,即root用户也需要满足这些密码规范。
d. 操作:
- 口令有效期:
- 远程登录阿里云服务器
- 进入:cd/etc/login.defs
- 修改 PASS_MAX_DAYS 99999 为 90
安全审计
- 问题:服务器审计记录未进行定期备份。
- 修改:建议对服务器审计记录进行定期备份,保证服务器日志能保留6个月以上。
- 操作:
- 远程登录阿里云服务器
- 进入:cd/etc/logrotate.conf
- 修改 weekly => monthly rotate 4 => rotate 6
- 解释:
- weekly 修改为 monthly,将周 修改为 月;
- rotate 4 修改为 rotate 6 将周期 4 修改 6
剩余信息保护
- 问题:linux服务器未保证存有敏感数据的存储空间被释放或重新分配前得到完全清除。
- 修改:建议linux关闭history功能,可以将/etc/profile文件中的HISTSIZE设置为 0;建议服务器开启缓存清除功能,在/etc/sysctl.conf文件中配置vm.drop_caches=3
- 操作:
- 关闭 history 功能
- 远程登录阿里云服务器
- 进入:/etc/profile
- 修改 HISTSIZE = 0
- 解释:
- 将 HISTSIZE 的数量修改为 0 ,将 history 关闭
- 开启服务器缓存清除功能
- 远程登录阿里云服务器
- 进入:/etc/sysctl.conf
- 新增 vm.drop_caches=3
- 解释:
- vm.drop_caches是一个内核参数,通常用于手动清空和回收内存缓存,包括页面缓存(Page Cache)、写回缓存(Writeback Cache)和目录高速缓存(Directory Cache)
- 新增配置 vm.drop_caches=3 为开启缓存清除功能
- 当设置为 0 时,表示不执行缓存清理;
- 当设置为 1 时,表示仅清除页面缓存;
- 当设置为 2 时,表示不仅清除页面缓存,还会尝试将所有数据从高速缓存中写回到磁盘。但不会关闭交换空间;
- 当设置为 3 或更高时,表示除了上述操作外,还会强制关闭所有写回缓存,并将所有脏页立即写入磁盘,这会显著减少内存占用并可能导致短暂的I/O密集。
入侵防范
- 问题:服务器未通过设定终端接入方式或网络地址范围对通过网络进行管理的管理终端进行限制;
- 修改:建议服务器通过/etc/hosts.allowr和/etc/hosts.deny文件设定终端接入方式或网络地址范围对通过网络进行管理的管理终端进行限制,或者服务器均通过堡垒机进行单点登录。
- 操作:
- 远程登录阿里云服务器
- 进入:/etc/hosts.allow
- 新增:固定IP终端内容,允许特定IP登录
- 进入:/etc/hosts.deny
- 新增:将不允许登录的IP范围新增进入
- 购买阿里云堡垒机解决(阿里客服建议,用户登录堡垒机 => 堡垒机固定IP登录服务器)