前言
这段时间公司的服务器在做等保验证,对服务器的做了一些安全防护配置,留此记录。
操作系统版本:centos 7.6
密码有效周期
- 相关文件:/etc/login.defs
| 参数 | 说明 | 默认值 | 修改值 |
| PASS_MAX_DAYS | 密码生存周期 | 9999 | 90 |
| PASS_MIN_DAYS | 密码更改最小间隔天数 | 0 | 30 |
| PASS_MIN_LEN | 密码最小长度 | 5 | 8 |
| PASS_WARN_AGE | 密码失效前警告天数 | 7 | 30 |
密码复杂度策略
- 相关文件:/etc/security/pwquality.conf
| 参数 | 说明 | 默认值 | 修改值 |
| minlen | 密码最小长度 | 默认注释 | 8 |
| dcredit | 密码中的数字个数,小于0则表示至少n个 | 默认注释 | -1 |
| ucredit | 密码中大写字母个数,小于0则表示至少n个 | 默认注释 | -1 |
| lcredit | 密码中小写字母个数,小于0则表示至少n个 | 默认注释 | -1 |
| ocredit | 密码中特殊字符个数,小于0则表示至少n个 | 默认注释 | -1 |
密码重复使用次数限制
- 相关文件:
/etc/pam.d/system-auth,找到password sufficient,并替换成以下内容。密码重复使用次数限制不超过5次。主要就是追加remember=5
password sufficient pam_unix.so md5 shadow nullok try_first_pass use_authtok remember=5
命令行界面超时退出
- 相关文件:
/etc/profile,添加如下配置,10分钟内无交互则超时退出
export TMOUT=600 # readonly设置后无法临时修改TMOUT,需要修改profile后才行 readonly TMOUT
telnet相关
- 禁止telnet远程登录。编辑/etc/services ,找到telnet并注释
- 关闭telnet
systemctl stop telnet && systemctl disable telnet
禁止root用户远程登录
- 相关文件:
/etc/ssh/sshd_config,将PermitRootLogin的值设置为no
PermitRootLogin no
查看是否有空密码的用户
- 有则手动修改密码
cat /etc/shadow | awk -F ':' '{if($2==0) print $0}'
用户认证失败次数限制
- ssh方式认证失败次数限制。相关文件:/etc/pam.d/sshd。参考如下配置,在初始配置基础上加了第2行和第8行
#%PAM-1.0 auth pam_tally2.so deny=5 unlock_time=600 no_lock_time auth required pam_sepermit.so auth substack password-auth auth include postlogin # Used with polkit to reauthorize users in remote sessions -auth optional pam_reauthorize.so prepare account required pam_tally2.so account required pam_nologin.so account include password-auth password include password-auth # pam_selinux.so close should be the first session rule session required pam_selinux.so close session required pam_loginuid.so # pam_selinux.so open should only be followed by sessions to be executed in the user context session required pam_selinux.so open env_params session required pam_namespace.so session optional pam_keyinit.so force revoke session include password-auth session include postlogin # Used with polkit to reauthorize users in remote sessions -session optional pam_reauthorize.so prepare
- 用户认证次数限制。相关文件:
/etc/pam.d/login。将如下内容放在#%PAM-1.0的下一行,也就是放在第二行
auth required pam_tally2.so deny=5 ulock_time=600 even_deny_root root_unlock_time=600
禁止wheel组之外的用户su为root
- 相关文件:
/etc/pam.d/su,将以下内容放在第二行和第三行。这表明只有wheel组的成员可以使用su命令成为root用户。 可以把用户添加到wheel组,以使它可以使用su命令成为root用户。 添加方法为:usermod –aG wheel username
auth sufficient pam_rootok.so auth required pam_wheel.so group=wheel
是否设置除root之外UID为0的用户
- 相关文件:
/etc/passwd
cat /etc/passwd | awk -F ':' '{if($3==0) print $0}'
是否允许匿名用户登录FTP
使用命令:ps -ef|grep vsftpd 查看vsftp进程是否存在,并查看vsftpd.conf的文件目录
cat vsftpd.conf|grep "anonymous_enable"
/etc/passwd文件内不包含ftp用户已禁用且vsftpd.conf文件中包含anonymous_enable=NO语句。
非FTP服务器建议直接停用vsftpd
系统文件权限
chmod 644 /etc/group chmod 000 /etc/shadow chmod 644 /etc/passwd # 用户设置完后再设置文件的隐藏权限 # 集合等保的要求及运维难度,shadow文件从等保的角度来说的话设置好权限就行,不需要加锁 chattr +i /etc/shadow chattr +i /etc/group chattr +i /etc/gshadow chattr +i /etc/passwd chmod 600 /boot/grub2/grub.cfg chmod 600 /etc/security chmod 750 /tmp chmod 750 /etc/rc.d/init.d/ chmod 750 /etc/rc0.d chmod 750 /etc/rc1.d chmod 750 /etc/rc2.d chmod 750 /etc/rc3.d chmod 750 /etc/rc4.d chmod 750 /etc/rc5.d chmod 750 /etc/rc6.d # 检查日志文件是否非全局可写 # 日志文件的权限设置为非全局可写,即限制相关用户访问日志文件的权限 chmod 775 /var/log/maillog chmod 755 /var/log/messages # chmod 775 /var/log/localmessages chmod 775 /var/log/spooler chmod 775 /var/log/boot.log chmod 775 /var/log/mail chmod 775 /var/log/cron chmod 775 /var/log/secure
可执行文件的SUID权限
检查/usr/bin目录下有SUID权限的可执行文件,视情况剔除SUID权限。
find /usr/bin -type f \( -perm -04000 -o -perm -02000 \) -exec ls -lg {} \;
用户目录缺省访问权限设置
- 相关文件:
/etc/login.defs,将UMASK的值从077改为027
日志文件权限设置
- 检查syslog进程,
ps -ef | grep syslog - 根据syslog的不同执行指令
# syslogd LOGDIR=`cat /etc/syslog.conf 2>/dev/null | grep -v "^[[:space:]]*#"|sed '/^#/d' |sed '/^$/d' |awk '(($2!~/@/) && ($2!~/*/) && ($2!~/-/)) {print $2}';`;ls -l $LOGDIR 2>/etc/null | grep "^-"; # syslog-ng LOGDIR=`cat /etc/syslog-ng/syslog-ng.conf 2>/dev/null | grep -v "^[[:space:]]*#"|grep "^destination"|grep file|cut -d\" -f2`;ls -l $LOGDIR 2>/dev/null | grep "^-"; # rsyslogd LOGDIR=`cat /etc/rsyslog.conf | grep -v "^[[:space:]]*#" |sed '/^#/d' |sed '/^$/d' |awk '(($2!~/@/) && ($2!~/*/) && ($2!~/-/)) {print $2}'`;ls -l $LOGDIR 2>/etc/null | grep "^-";
权限值没有限定,只要满足同组用户、其他用户不出现r-x,rw-,rwx即可。640或600
安全事件日志配置
- 查看配置文件
# 查询运行中的日志服务 ps -ef|grep syslog # syslog-ng服务使用以下命令查看配置文件: cat /etc/syslog-ng/syslog-ng.conf # syslog服务使用以下命令查看配置文件: cat /etc/syslog.conf # rsyslog服务使用以下命令查看配置文件: cat /etc/rsyslog.conf
- rsyslog日志服务配置安全事件日志。编辑/etc/rsyslog.conf
# 其中/var/adm/messages为日志文件 # 如果该文件不存在,则创建该文件 # touch /var/adm/messages # chmod 666 /var/adm/messages # 添加以下配置 *.err;kern.debug;daemon.notice /var/adm/messages
- 重启日志服务
systemctl restart rsyslog
设置ssh登录警告Banner
- 登录前banner警告
touch /etc/ssh_banner chown bin:bin /etc/ssh_banner chmod 644 /etc/ssh_banner echo " Authorized only. All activity will be monitored and reported " > /etc/ssh_banner # 编辑 /etc/ssh/sshd_config , 添加如下行 Banner /etc/ssh_banner # 重启sshd systemctl restart sshd
- 登录后警告
echo "Login success. All activity will be monitored and reported " > /etc/motd
历史命令设置
编辑/etc/profile,修改如下变量,无则添加
HISTSIZE=5 HISTFILESIZE=5
删除或锁定用户
需要锁定的用户:adm, lp, mail, uucp, operator, games, gopher, ftp, nobody, nobody4, noaccess, listen, webservd, rpm, dbus, avahi, mailnull, smmsp, nscd, vcsa, rpc, rpcuser, nfs, sshd, pcap, ntp, haldaemon, distcache, apache, webalizer, squid, xfs, gdm, sabayon, named。
# 删除用户 userdel username # 锁定用户 usermod -L username # 解锁用户 usermod -U username
authconfig使用
# 密码复杂度 authconfig --enablereqdigit --update authconfig --enablereqlower --update authconfig --enablerequpper --update authconfig --enablereqother --update
