马上注册,享用更多功能,让你轻松玩转领域。
您需要 登录 才可以下载或查看,没有帐号?马上注册
x
Centos7系统基线合规检测
; g" m# C, y5 g6 {% H2 J7 j& t1 e! ?/ Y" {9 G
合规基线检测-Centos7系统基线合规检测
J/ x, R4 e1 D! ^3 o5 z8 S: I
3 ]% F3 ~- J4 H* W) N& s, z- 检查项目: 禁止转发ICMP重定向报文* d5 H5 }- _% E X
- 加固建议: 在 /etc/sysctl.conf 或 /etc/sysctl.d/* 文件中设置以下参数: net.ipv4.conf.all.send_redirects = 0 net.ipv4.conf.default.send_redirects = 0 运行以下命令来设置活动的内核参数: $ sysctl -w net.ipv4.conf.all.send_redirects=0 $ sysctl -w net.ipv4.conf.default.send_redirects=0 $ sysctl -w net.ipv4.route.flush=1
9 g! y: Y0 y. @# J - 检查项目: 禁止转发ICMP重定向报文5 {( v+ l( q! U$ W+ B* u
- 加固建议: 在 /etc/sysctl.conf 或 /etc/sysctl.d/* 文件中设置以下参数: net.ipv4.conf.all.send_redirects = 0 net.ipv4.conf.default.send_redirects = 0 运行以下命令来设置活动的内核参数: $ sysctl -w net.ipv4.conf.all.send_redirects=0 $ sysctl -w net.ipv4.conf.default.send_redirects=0 $ sysctl -w net.ipv4.route.flush=1* S4 F' G4 b1 t/ Y2 S
- 检查项目: 禁止包含源路由的ip包
' Q. C: \* E# u6 F$ _ R5 d: F/ }% G% f - 加固建议: 执行sysctl -w net.ipv4.conf.all.accept_redirects=0,再查看/etc/sysctl.conf中是否存在net.ipv4.conf.all.accept_redirects=0,不存在则添加9 V. p- K0 T- l6 ?' m$ W/ A
- 检查项目: 禁止包含源路由的ip包8 A& V t8 u# k) Y j$ M( y
- 加固建议: 执行sysctl -w net.ipv4.conf.default.accept_redirects=0,再查看/etc/sysctl.conf中是否存在net.ipv4.conf.default.accept_redirects=0,不存在则添加
3 y3 ?0 h7 n0 ^5 `2 A - 检查项目: 禁止转发安全ICMP重定向报文2 `6 t* b$ ?' ?1 R+ u4 S4 Y u
- 加固建议: 执行sysctl -w net.ipv4.conf.all.secure_redirects=0,再查看/etc/sysctl.conf中是否存在net.ipv4.conf.all.secure_redirects=0,不存在则添加
) ?- X+ C$ T q2 g) i! g# ]' Y; q - 检查项目: 禁止转发安全ICMP重定向报文
7 L/ H0 g/ T F+ j9 l$ s - 加固建议: 执行sysctl -w net.ipv4.conf.default.secure_redirects=0,再查看/etc/sysctl.conf中是否存在net.ipv4.conf.default.secure_redirects=0,不存在则添加
; C! L6 Z' |3 } - 检查项目: 密码授权新密码与老密码不能重复/ Z/ n* [/ l+ _, O5 P" s4 b, L
- 加固建议: 在/etc/pam.d/password-auth中password sufficient pam_unix.so 行末尾加remember=6 ,remember的值表示此次设置密码与过去6次不同3 ~& r$ U% n% Z2 Q6 @3 s
- 检查项目: 系统授权新密码与老密码不能重复( b M# U) a% _* ]" |
- 加固建议: 在/etc/pam.d/system-auth中password sufficient pam_unix.so这一行末尾加 remember=6 ,remember的值表示此次设置密码与过去6次不同7 s' b5 \) B3 H8 G; d$ y" ]
- 检查项目: rsyslog日志文件权限配置: q! `6 R! C: n9 {# m" M. v
- 加固建议: 在/etc/rsyslog.conf中添加:$FileCreateMode 0640
' B! m8 a o1 G5 ~ - 检查项目: 禁止root直接登录
7 {0 d4 `1 W& y - 加固建议: 注意:在修改此项之前,请务必创建一个可登陆账号;在/etc/ssh/sshd_config中PermitRootLogin的值:yes设置为no
: K! c$ U" o3 n- a- K+ ]* k) \ - 检查项目: SSHD仅记录ssh用户登录活动
- m8 B6 | ?0 [4 [) a" { - 加固建议: 在/etc/ssh/sshd_config中取消LogLevel INFO注释符号#
3 ^* i( L0 f) O2 M, q# Y1 Y - 检查项目: SSHD仅记录ssh用户登录活动9 ?8 r4 ~6 z, H. x! h7 ^2 F
- 加固建议: 在/etc/ssh/sshd_config中取消MaxAuthTries注释符号#,设置自定义最大密码尝试失败次数+ F8 x0 l7 H' {$ d% w0 s5 g
- 检查项目: 清理主机远程登录历史主机记录; P! L+ T7 P) i) }; ~
- 加固建议: 在/etc/ssh/sshd_config中取消IgnoreRhosts yes注释符号#
8 x- V! b5 z! g" q5 c) v9 i( {0 b - 检查项目: 禁止空密码用户登录
, J; K: c; Q5 H7 q$ U - 加固建议: 在/etc/ssh/sshd_config中取消PermitEmptyPasswords no注释符号#
1 P' E" N. x1 y5 Z - 检查项目: 禁止用户修改环境变量
* E( L1 H% \; L9 u6 [8 |1 F - 加固建议: 在/etc/ssh/sshd_config中取消PermitUserEnvironment no注释符号#
0 p% H4 y( z3 ~/ @9 X3 q4 P6 | - 检查项目: 设置用户密码最小长度
1 d6 Z- D5 r% M' }" T1 \ - 加固建议: 在/etc/security/pwquality.conf中取消minlen注释符号#,同时设置最小密码长度建议10位以上2 N. p3 i0 D! G4 v: j z
- 检查项目: 设置用户密码数字位数$ N ~& V% v$ P, U
- 加固建议: 在/etc/security/pwquality.conf中取消dcredit注释符号#,同时设置为负数建议-1最少包含1位数字
X1 B* c5 K- k% ]# p0 _ - 检查项目: 设置用户密码大写字母位数: k- G& {7 y; L' {; Z0 j, Q
- 加固建议: 在/etc/security/pwquality.conf中取消ucredit注释符号#,同时设置为负数建议-1最少包含1位大写字母4 R/ Z" } N( L b) H7 i/ q7 D
- 检查项目: 设置用户密码小写字母位数
9 H1 h$ N$ N& k5 @ - 加固建议: 在/etc/security/pwquality.conf中取消lcredit注释符号#,同时设置为负数建议-1最少包含1位小写字母/ k: F/ k: i9 `$ Q! K% u# {, r4 x
- 检查项目: 设置用户密码特殊字符位数$ ~: y- k+ d4 w
- 加固建议: 在/etc/security/pwquality.conf中取消ocredit注释符号#,同时设置为负数建议-1最少包含1位特殊字符+ b* U; V# i" N% y! @8 B
- 检查项目: 强制密码失效时间8 e' B0 c" \' r1 s
- 加固建议: 在/etc/login.defs 设置强制密码失效时间,建议值365
7 l4 \3 r" V* M; k4 j s- g - 检查项目: 密码修改最小间隔时间
$ ]% e7 T& _. m - 加固建议: 在/etc/login.defs 设置密码修改最小间隔时间,建议值71 x4 ^; L$ r( a1 c- l( _: \! W6 {
- 检查项目: 设置有密码账户不活动最大时间. V8 i' G% m" S! ~& V
- 加固建议: 使用如下命令设置有密码账户不活动最大时间值:useradd -D -f 1095,建议值1095天
" j6 @$ Q/ F* _7 l6 \8 ? - 检查项目: 检查/boot/grub2/grub.cfg文件ACL属性6 z5 k3 ]# T! `* `+ p8 v% h
- 加固建议: 执行:chmod 0600 /boot/grub2/grub.cfg9 X* y; J% ]# Q3 S0 X U# d
- 检查项目: 检查/etc/crontab文件ACL属性, [' t6 g6 w9 d& J$ g$ i3 O
- 加固建议: 执行:chmod 0600 /etc/crontab. q( C2 N u, `9 V, J% U8 i
- 检查项目: 检查/etc/cron.hourly文件ACL属性
, X1 F+ n" D* R e, r - 加固建议: 执行:chmod 0600 /etc/cron.hourly: N/ d6 H# P* @7 o
- 检查项目: 检查/etc/cron.daily文件ACL属性# p8 E: }* |# f# C
- 加固建议: 执行:chmod 0600 /etc/cron.daily
! M1 G Q1 e; q& c# [8 S - 检查项目: 检查/etc/cron.weekly 文件ACL属性1 e$ {: F2 t8 V" E3 a' L2 U5 \& V
- 加固建议: 执行:chmod 0600 /etc/cron.weekly
2 F" q9 S5 T& y5 Q - 检查项目: 检查/etc/cron.monthly 文件ACL属性3 }2 x o( n$ _; V! r
- 加固建议: 执行:chmod 0600 /etc/cron.monthly
4 s: \$ @- a ^4 W0 e* w - 检查项目: 检查/etc/cron.d 文件ACL属性
9 ]/ k3 k+ ~5 c - 加固建议: 执行:chmod 0600 /etc/cron.d
" T9 _9 t1 ]. A) l1 ~6 \, v/ x |
