服务器代运维之CentOS Linux 7安全基线检查

昨天写的文章中第二小篇幅简单介绍了漏洞修复,后来还升级了最新的稳定版linux内核。修复了5个内核漏洞。干脆做了一个阿里云基线标准检查,重点检查CentOS Linux 7的安全防范基线检查,发现默认的配置就过了10项,还剩下5项没有通过。这次我们通过这篇文章来进行修复。上图

 

阿里云标准Centos7基线检查图
阿里云标准Centos7基线检查图

这里一共有5项高风险的项。首先设置一下密码失效时间的操作。阿里云本身对它的描述是设置密码失效时间,强制定期修改密码,减少密码被泄漏和猜测风险,使用非密码登陆方式(如密钥对)请忽略此项。(恰恰我们习惯使用密钥对,而密钥对存在我们的U盘)这里还是操作一遍。

阿里云自身对系统的加固建议是使用非密码登陆方式如密钥对,请忽略此项。

在 /etc/login.defs中将 PASS_MAX_DAYS 参数设置为 60-180之间,

需同时执行命令设置root密码失效时间:

chage –maxdays 90 root

操作时建议做好记录或备份!

在远程连接中输入vim /etc/login.defs 上图

如下图,简单翻译了一下在里边

我们的最大密码使用天数设置为180天。更改密码最小天数为7天.VIM操作提示 按i键进入编辑模式,编辑完成之后按Esc键.然后输入:wq保存并退出.

再输入上面的命令使之生效。chage–maxdays 180 root 与chage –mindays 7 root

再设置下那个SSH空闲超时退出时间阿里云这边给它的描述的是设置SSH空闲超时退出时间,可降低未授权用户访问其他用户ssh会话的风险。

加固建议如下

编辑/etc/ssh/sshd_config,将ClientAliveInterval 设置为300到900,即5-15分钟,将ClientAliveCountMax设置为0-3之间。

ClientAliveInterval 600
ClientAliveCountMax 2

按Ecs键之后 输入:wq 保存并退出。

接下来是密码复杂度检查。阿里云这边对它的描述是检查密码长度和密码是否使用多种字符类型

加固建议是编辑/etc/security/pwquality.conf,把minlen(密码最小长度)设置为9-32位,把minclass(至少包含小写字母、大写字母、数字、特殊字符等4类字符中等3类或4类)设置为3或4。如:

minlen=10
minclass=3

在命令终端我们输入vim /etc/security/pwquality.conf 把minien=10和minclass=3设置好。上图了

按Ecs键之后 输入:wq 保存并退出。

接下来就是检查密码重用是否受限制,对它的描述是强制用户不重用最近使用的密码,降低密码猜测攻击风险.

加固建议是在/etc/pam.d/password-auth和/etc/pam.d/system-auth中password sufficient pam_unix.so 这行的末尾配置remember参数为5-24之间,原来的内容不用更改,只在末尾加了remember=5。

我们继续在终端操作输入 vim /etc/pam.d/password-auth 把建议实现。

修改完成之后使用cat命令来进行查看确认。然后输入vim /etc/pam.d/system-auth 也修改一下,上图。

按Ecs键然后输入:wq保存并退出,就算完成了。今天按照阿里云CentOS Linux 7的安全防范基线检查15项中不合规的5项就算完成了。总结一下。

我们修改了使用密码的最大天数为180天,更改密码最小天数为7天。SSH空闲超时退出时间设置为10分钟。允许连接SSH连接超时的次数为2次。密码长度为10位。3种类。强制用户不重用最近使用的密码,降低密码猜测攻击风险.

废话不多说,上图。

Leave a Reply

Your email address will not be published. Required fields are marked *