技术学堂
操作系统在默认情况下存在一些安全风险,尤其生产线上的系统,必须对系统基线进行巩固,否则不知什么时候就被人黑了。本文讲述Linux一些最基本的安全基线巩固建议,希望对大家有帮助。
入侵防范
开启地址空间布局随机化
它将进程的内存空间地址随机化来增大入侵者预测目的地址难度,从而降低进程被成功入侵的风险。
加固建议
执行命令:
sysctl -w kernel.randomize_va_space=2
身份鉴别
确保root是唯一的UID为0的帐户
UID为0的用户只能是root。
加固建议
除root以外其他UID为0的用户都应该删除,或者为其分配新的UID。
cat /etc/passwd | awk -F: '($3 == 0) { print $1 }'|grep -v '^root$'
密码复杂度检查
检查密码长度和密码是否使用多种字符类型。
加固建议
修改配置/etc/security/pwquality.conf:
minlen=12 minclass=3
设置密码失效时间
设置密码失效时间,强制定期修改密码,减少密码被泄漏和猜测风险,使用非密码登陆方式(如密钥对)请忽略此项。
加固建议
修改配置/etc/login.defs(使用非密码登陆方式可忽略此项):
PASS_MAX_DAYS 90
然后执行命令:
chage --maxdays 90 root
设置密码修改最小间隔时间
设置密码修改最小间隔时间,限制密码更改过于频繁。
加固建议
修改配置/etc/login.defs:
PASS_MIN_DAYS 7
然后执行命令:
chage --mindays 7 root
检查密码重用是否受限制
强制用户不重用最近使用的密码,降低密码猜测攻击风险。
加固建议
在/etc/pam.d/password-auth和/etc/pam.d/system-auth中找到password sufficient pam_unix.so,并在该行末尾添加参数:
remember=5 #5~24
服务配置
确保SSH MaxAuthTries设置为3到6之间
设置较低的 Max AuthTrimes 参数将降低SSH服务器被暴力攻击成功的风险。
加固建议
修改配置/etc/ssh/sshd_config:
MaxAuthTries 3
SSHD强制使用V2安全协议
SSHD强制使用V2安全协议。
加固建议
修改配置/etc/ssh/sshd_config:
Protocol 2
设置SSH空闲超时退出时间
设置SSH空闲超时退出时间,可降低未授权用户访问其他用户ssh会话的风险。
加固建议
修改配置/etc/ssh/sshd_config:
ClientAliveInterval 900 ClientAliveCountMax 3
确保SSH LogLevel设置为INFO
确保 SSH LogLevel 设置为 INFO,记录登录和注销活动。
加固建议
修改配置/etc/ssh/sshd_config:
LogLevel INFO
原创文章禁止转载:技术学堂 » Linux操作系统常见标准安全基线设置
