网络配置
检查不用的连接
使用命令:ip link show up
如果有需要关闭的接口,可以使用ip link set down
关闭IP转发
先查看IP转发配置
显示为1,可以使用以下命令改为0:
sysctl -w net.ipv4.ip_forward=0
关闭数据包重定向
先 查看重定向设置
sysctl net.ipv4.conf.all.send_redirects
发现为1,可以使用下面命令改为0
sysctl -w net.ipv4.conf.all.send_redirects=0
开启STN cookies
查看syn cookies配置
sysctl net.ipv4.tcp_syncookies
发现为1,已经开启。如果为0,则使用下面命令改为1
sysctl -w net.ipv4.tcp_syncookies=1
查看审计服务
查看服务是否开启
systemctl status auditd
上图为已经开启,如果未开启可以使用下面命令开始
systemctl start auditd
查看审计日志大小
cat /etc/audit/auditd.conf |grep max
如图显示最大日志为8M
查看并配置日志审计
查看日志文件权限
使用命令
ls -l /var/log/
非600的文件,可以使用下面命令改为600
chmod 600/var /log/wpa_supplicant,log
查看日志归档处理
确保存在/etc/logrotate.d/syslog文件
使用以下命令
ls /etc/logrotat.d/syslog
查看SSH配置文件权限
检查SSH配置文件权限
ls -l /etc/ssh/sshd_config
权限改600,可以使用以下命令
chmod 600 /etc/ssh/sshd_config
配置允许SSH允许的验证失败次数
查看当前配置
sshd -T |lgrep maxauthtries
上图显示为6次登录失败后断开连接
可以修改/etc/ssh/sshd_config文件的MaxAuthTires值进行修改。
禁止空密码登录SSH
sshd -T | grep permitemptypasswords
查看SSH支持密码算法,确保没有md5 des等已经不安全的算法
sshd -T | grep ciphers
认证模块配置
密码强度配置
可以自己修改配置,去掉行首#号
如将密码最小设为10位,设置minlen = 10
将密码复杂度为4种类型(包含大写字母、小写字母、数字、符号),设置minclass =4
设置后保存退出。
密码过期时间设置
查看过期时间
grep ^\s*PASS_MAX_DAYS /etc/login.defs
默认过期时间为9999天,修改相应文件即可修改过期时间