【CentOS7操作系统安全加固系列】第(3)篇

1、检查不活跃的密码锁定是否小于等于 30 天

规则描述：在给定时间段内已停用的用户帐户可以自动禁用。建议在密码到期后 30 天内处于非活动状态的帐户被禁用。

审计描述：执行以下命令检查 INACTIVE 是否为 30 或更少：

useradd -D | grep INACTIVE

INACTIVE=30(或更少)

检查所有使用密码的用户是否将密码设置为在密码过期后的 30 天内停用：

egrep ^[^:]+:[^\!*] /etc/shadow| egrep -v "^\s*#|root" | awk -F: '{print $1":"$7}' | egrep -v ".*:(30|[1-2][0-9]|[1-9])$"

检查是否输出为空

修改建议：执行以下命令

将默认密码不活动期限设置为 30 天：useradd -D -f 30

修改不合规用户的用户参数：chage --inactive 30

useradd -D -f 30
chage --inactive 30 centos
useradd -D | grep INACTIVE
egrep ^[^:]+:[^\!*] /etc/shadow| egrep -v "^\s*#|root" | awk -F: '{print $1":"$7}' | egrep -v ".*:(30|[1-2][0-9]|[1-9])$"

例如添加一下centos用户用于测试

2、禁止 wheel 组以外的用户使用 su - root 命令

规则描述：使用 PAM 认证模块进行 su 权限控制，禁止 wheel 组之外的用户使用 su - root 命令

审计描述：执行命令 cat /etc/pam.d/su，查看文件中是否存在如下配置：

auth sufficient pam_rootok.so 使用 pam_rootok.so 认证模块认证

auth required pam_wheel.so group=wheel 或 auth required pam_wheel.so use_uid 且配置了只允许 wheel 组的用户才能使用 su - root 命令

修改建议：修改或添加配置文件/etc/pam.d/su 的条目：auth sufficient pam_rootok.so auth required pam_wheel.so group=wheel 或 auth required pam_wheel.so use_uid

限制使用 su 命令的账户 说明：su 命令用于在不同账户之间切换。为了增强系统安全性，有必要对 su 命令的使用权进行控制，只允许 root 和 wheel 群组的账户使用 su 命令，限制其他账户使用。

修改前centos用户可以正常su - root

修改后

将centos用户加入到wheel组后也可以正常su - root

3、限制 root 用户 SSH 远程登录

规则描述：拒绝 root 用户通过 ssh 协议远程登录且 ssh 协议版本为 2

审计描述：查看配置文件/etc/ssh/sshd_config 是否有以下配置：

egrep -v "^[[:space:]]_#|^[[:space:]]_\$" /etc/ssh/sshd_config | grep PermitRootLogin

（1）拒绝 root 用户通过 ssh 协议远程登录 PermitRootLogin no

（2）ssh 协议版本是否为 2 Protocol 2

修改建议：在文件/etc/ssh/sshd_config 添加如下配置：PermitRootLogin no Protocol 2

备注：PermitRootLogin 的默认值为 yes，Protocol 的默认值为 2

egrep -v "^[[:space:]]*#|^[[:space:]]*$" /etc/ssh/sshd_config | grep PermitRootLogin
cat /etc/ssh/sshd_config | grep PermitRootLogin
sed -i "s/#PermitRootLogin yes/PermitRootLogin no/g" /etc/ssh/sshd_config
cat /etc/ssh/sshd_config | grep PermitRootLogin
service sshd restart

只能先用其它用户SSH登录再su - root

4、检查 AIDE 是否安装

规则描述：AIDE 生产一个文件系统状态的快照，其中包括修改时间，权限和文件哈希值，然后可以其与文件系统的当前状态进行比较，以检测对系统的修改。

审计描述：检查 AIDE 是否安装，执行：rpm -q aide 2>/dev/null

修改建议：执行以下命令安装 AIDE：# yum install aide

AIDE：Advanced Intrusion Detection Environment，是一款入侵检测工具，主要用途是检查文档的完整性。AIDE 在本地构造了一个基准的数据库，一旦操作系统被入侵，可以通过对比基准数据库而获取文件变更记录，使用 aide.conf 作为其配置文档。AIDE 数据库能够保存文档的各种属性，包括：权限(permission)、索引节点序号(inode number)、所属用户(user)、所属用户组(group)、文档大小、最后修改时间(mtime)、创建时间(ctime)、最后访问时间(atime)、增加的大小连同连接数。

一旦出现 AIDE 监控的文件被篡改的情况，AIDE 会触发告警，通知管理员。AIDE 还能够使用下列算法：sha1、md5、rmd160、tiger，以密文形式建立每个文档的校验码或散列号

1).安装 aide

yum install aide -y

2).配置文件所在路径：/etc/aide.conf

3).对 AIDE 的配置文件进行检测：aide -D

4).aide -i 生成出初化数据库 ，初始化的时间会比较长，耐心等待下

5)根据/etc/aide.conf 生成的/var/lib/aide/aide.db.new.gz 文件需要重命名 为/var/lib/aide/aide.db.gz，以便让 AIDE 能读取它

mv /var/lib/aide/aide.db.new.gz /var/lib/aide/aide.db.gz

6)、测试 添加一个用户，aide -C 或者 aide --check

AIDE 的介绍可以参考 https://linux.cn/article-4242-1.html