本文共 1972 字,大约阅读时间需要 6 分钟。
检查是否存在 PASS_MIN_LEN 项的设置:
cat /etc/login.defs
备份方法:
cp /etc/login.defs /etc/login.defs_bak
加固方法:
vim /etc/login.defs
设置密码最小长度为8位:
PASS_MIN_LEN 8
设置密码过期时间为60天:
PASS_MAX_DAYS 60
加固方法:
vim /etc/pam.d/system-auth
设置为密码连续错误6次锁定,锁定时间300秒:
auth required pam_tally.so onerr=fail deny=6 unlock_time=300
注意:锁定用户需使用faillog命令,风险:需要PAM包支持。操作时应仔细检查PAM文件,避免配置错误。如出现登录问题,可查阅/var/log/messages或/var/log/secure日志。
加固方法:
vim /etc/ssh/sshd_config
禁止root登录:
PermitRootLogin no
保存后重启SSH服务:
service sshd restart
禁止非wheel组用户切换到root:
vim /etc/pam.d/su
设置PAM规则:
auth required /lib/security/$ISA/pam_wheel.so use_uid
在 /etc/login.defs 中添加限制:
echo "SU_WHEEL_ONLY yes" >> /etc/login.defs
创建sysyunwei或sa用户用于SSH登录,配置特殊权限可将其加入wheel组,支持sudo操作。
配置要求参考1.1.1。
检查PATH环境变量:
echo $PATH
查看系统起始脚本:
cat /etc/profile
检查路径参数是否可凝。
修改方法:
vim /etc/profile
设置自动退出时间为600秒:
TMOUT=600
禁止使用Telnet,启用SSH服务进行远程登录。
严禁中间件控制台使用默认端口号,默认URL和初始密码。重要业务系统不建议使用控制台管理界面。操作步骤:删除Tomcat管理界面相关文件:
rm -rf /home/app/tomcat8/webapps/*
删除配置文件:
rm /home/app/tomcat8/conf/Catalina/localhost/host-manager.xmlrm /home/app/tomcat8/conf/Catalina/localhost/manager.xml
注释或删除Tomcat用户配置文件中的权限信息:
注释或删除 /home/app/tomcat8/conf/Catalina/localhost/tomcat_user.xml 中的所有用户权限。
账号应以其能进行的最小权限进行授权。
账号对应部门岗位或用途,不对应人员名称,人员更换不影响用户名称。如应用用户使用app、loguser,不得以人名命名,如zhangsan。
| 岗位职责或账号用途 | 账号名称建议 |
|---|---|
| 应用用户 | app |
| 系统管理员 | sysyunwei或sa |
| 审计用户 | audit |
| 日志用户 | loguser |
统一部署ClamAV病毒扫描软件:
安装并配置ClamAV:sudo apt-get install clamav-daemon
病毒库定期更新:下载最新的main.cvd、daily.cvd、bytecode.cvd文件。
统一部署Tripwire:
sudo apt-get install tripwire
定期扫描:
tripwire -m c -s /etc/tripwire/tw.cfg
扫描结果由审计管理员查看:
cp /var/lib/tripwire/report/* /home/audit/
关注系统安全漏洞,定期更新OpenSSH:
下载最新版本的OpenSSH文档。
主机系统定期,每隔3月左右扫描一次:
运行漏洞扫描工具,确保系统安全。
转载地址:http://bezfk.baihongyu.com/