301技术互助FORUM_301站长技术互助论坛

 找回密码
 马上注册
搜索
热搜: 站长 discuz zblog

[服务器类] Centos7系统基线合规检测

[复制链接]

马上注册,享用更多功能,让你轻松玩转领域。

您需要 登录 才可以下载或查看,没有帐号?马上注册

x
Centos7系统基线合规检测
; g" m# C, y5 g6 {% H2 J7 j& t1 e! ?/ Y" {9 G
合规基线检测-Centos7系统基线合规检测
  J/ x, R4 e1 D! ^3 o5 z8 S: I
3 ]% F3 ~- J4 H* W) N& s, z
  1. 检查项目: 禁止转发ICMP重定向报文* d5 H5 }- _% E  X
  2. 加固建议: 在 /etc/sysctl.conf 或 /etc/sysctl.d/* 文件中设置以下参数: net.ipv4.conf.all.send_redirects = 0 net.ipv4.conf.default.send_redirects = 0 运行以下命令来设置活动的内核参数: $ sysctl -w net.ipv4.conf.all.send_redirects=0 $ sysctl -w net.ipv4.conf.default.send_redirects=0 $ sysctl -w net.ipv4.route.flush=1
    9 g! y: Y0 y. @# J
  3. 检查项目: 禁止转发ICMP重定向报文5 {( v+ l( q! U$ W+ B* u
  4. 加固建议: 在 /etc/sysctl.conf 或 /etc/sysctl.d/* 文件中设置以下参数: net.ipv4.conf.all.send_redirects = 0 net.ipv4.conf.default.send_redirects = 0 运行以下命令来设置活动的内核参数: $ sysctl -w net.ipv4.conf.all.send_redirects=0 $ sysctl -w net.ipv4.conf.default.send_redirects=0 $ sysctl -w net.ipv4.route.flush=1* S4 F' G4 b1 t/ Y2 S
  5. 检查项目: 禁止包含源路由的ip包
    ' Q. C: \* E# u6 F$ _  R5 d: F/ }% G% f
  6. 加固建议: 执行sysctl -w net.ipv4.conf.all.accept_redirects=0,再查看/etc/sysctl.conf中是否存在net.ipv4.conf.all.accept_redirects=0,不存在则添加9 V. p- K0 T- l6 ?' m$ W/ A
  7. 检查项目: 禁止包含源路由的ip包8 A& V  t8 u# k) Y  j$ M( y
  8. 加固建议: 执行sysctl -w net.ipv4.conf.default.accept_redirects=0,再查看/etc/sysctl.conf中是否存在net.ipv4.conf.default.accept_redirects=0,不存在则添加
    3 y3 ?0 h7 n0 ^5 `2 A
  9. 检查项目: 禁止转发安全ICMP重定向报文2 `6 t* b$ ?' ?1 R+ u4 S4 Y  u
  10. 加固建议: 执行sysctl -w net.ipv4.conf.all.secure_redirects=0,再查看/etc/sysctl.conf中是否存在net.ipv4.conf.all.secure_redirects=0,不存在则添加
    ) ?- X+ C$ T  q2 g) i! g# ]' Y; q
  11. 检查项目: 禁止转发安全ICMP重定向报文
    7 L/ H0 g/ T  F+ j9 l$ s
  12. 加固建议: 执行sysctl -w net.ipv4.conf.default.secure_redirects=0,再查看/etc/sysctl.conf中是否存在net.ipv4.conf.default.secure_redirects=0,不存在则添加
    ; C! L6 Z' |3 }
  13. 检查项目: 密码授权新密码与老密码不能重复/ Z/ n* [/ l+ _, O5 P" s4 b, L
  14. 加固建议: 在/etc/pam.d/password-auth中password sufficient pam_unix.so 行末尾加remember=6 ,remember的值表示此次设置密码与过去6次不同3 ~& r$ U% n% Z2 Q6 @3 s
  15. 检查项目: 系统授权新密码与老密码不能重复( b  M# U) a% _* ]" |
  16. 加固建议: 在/etc/pam.d/system-auth中password sufficient pam_unix.so这一行末尾加 remember=6 ,remember的值表示此次设置密码与过去6次不同7 s' b5 \) B3 H8 G; d$ y" ]
  17. 检查项目: rsyslog日志文件权限配置: q! `6 R! C: n9 {# m" M. v
  18. 加固建议: 在/etc/rsyslog.conf中添加:$FileCreateMode 0640
    ' B! m8 a  o1 G5 ~
  19. 检查项目: 禁止root直接登录
    7 {0 d4 `1 W& y
  20. 加固建议: 注意:在修改此项之前,请务必创建一个可登陆账号;在/etc/ssh/sshd_config中PermitRootLogin的值:yes设置为no
    : K! c$ U" o3 n- a- K+ ]* k) \
  21. 检查项目: SSHD仅记录ssh用户登录活动
    - m8 B6 |  ?0 [4 [) a" {
  22. 加固建议: 在/etc/ssh/sshd_config中取消LogLevel INFO注释符号#
    3 ^* i( L0 f) O2 M, q# Y1 Y
  23. 检查项目: SSHD仅记录ssh用户登录活动9 ?8 r4 ~6 z, H. x! h7 ^2 F
  24. 加固建议: 在/etc/ssh/sshd_config中取消MaxAuthTries注释符号#,设置自定义最大密码尝试失败次数+ F8 x0 l7 H' {$ d% w0 s5 g
  25. 检查项目: 清理主机远程登录历史主机记录; P! L+ T7 P) i) }; ~
  26. 加固建议: 在/etc/ssh/sshd_config中取消IgnoreRhosts yes注释符号#
    8 x- V! b5 z! g" q5 c) v9 i( {0 b
  27. 检查项目: 禁止空密码用户登录
    , J; K: c; Q5 H7 q$ U
  28. 加固建议: 在/etc/ssh/sshd_config中取消PermitEmptyPasswords no注释符号#
    1 P' E" N. x1 y5 Z
  29. 检查项目: 禁止用户修改环境变量
    * E( L1 H% \; L9 u6 [8 |1 F
  30. 加固建议: 在/etc/ssh/sshd_config中取消PermitUserEnvironment no注释符号#
    0 p% H4 y( z3 ~/ @9 X3 q4 P6 |
  31. 检查项目: 设置用户密码最小长度
    1 d6 Z- D5 r% M' }" T1 \
  32. 加固建议: 在/etc/security/pwquality.conf中取消minlen注释符号#,同时设置最小密码长度建议10位以上2 N. p3 i0 D! G4 v: j  z
  33. 检查项目: 设置用户密码数字位数$ N  ~& V% v$ P, U
  34. 加固建议: 在/etc/security/pwquality.conf中取消dcredit注释符号#,同时设置为负数建议-1最少包含1位数字
      X1 B* c5 K- k% ]# p0 _
  35. 检查项目: 设置用户密码大写字母位数: k- G& {7 y; L' {; Z0 j, Q
  36. 加固建议: 在/etc/security/pwquality.conf中取消ucredit注释符号#,同时设置为负数建议-1最少包含1位大写字母4 R/ Z" }  N( L  b) H7 i/ q7 D
  37. 检查项目: 设置用户密码小写字母位数
    9 H1 h$ N$ N& k5 @
  38. 加固建议: 在/etc/security/pwquality.conf中取消lcredit注释符号#,同时设置为负数建议-1最少包含1位小写字母/ k: F/ k: i9 `$ Q! K% u# {, r4 x
  39. 检查项目: 设置用户密码特殊字符位数$ ~: y- k+ d4 w
  40. 加固建议: 在/etc/security/pwquality.conf中取消ocredit注释符号#,同时设置为负数建议-1最少包含1位特殊字符+ b* U; V# i" N% y! @8 B
  41. 检查项目: 强制密码失效时间8 e' B0 c" \' r1 s
  42. 加固建议: 在/etc/login.defs 设置强制密码失效时间,建议值365
    7 l4 \3 r" V* M; k4 j  s- g
  43. 检查项目: 密码修改最小间隔时间
    $ ]% e7 T& _. m
  44. 加固建议: 在/etc/login.defs 设置密码修改最小间隔时间,建议值71 x4 ^; L$ r( a1 c- l( _: \! W6 {
  45. 检查项目: 设置有密码账户不活动最大时间. V8 i' G% m" S! ~& V
  46. 加固建议: 使用如下命令设置有密码账户不活动最大时间值:useradd -D -f 1095,建议值1095天
    " j6 @$ Q/ F* _7 l6 \8 ?
  47. 检查项目: 检查/boot/grub2/grub.cfg文件ACL属性6 z5 k3 ]# T! `* `+ p8 v% h
  48. 加固建议: 执行:chmod 0600 /boot/grub2/grub.cfg9 X* y; J% ]# Q3 S0 X  U# d
  49. 检查项目: 检查/etc/crontab文件ACL属性, [' t6 g6 w9 d& J$ g$ i3 O
  50. 加固建议: 执行:chmod 0600 /etc/crontab. q( C2 N  u, `9 V, J% U8 i
  51. 检查项目: 检查/etc/cron.hourly文件ACL属性
    , X1 F+ n" D* R  e, r
  52. 加固建议: 执行:chmod 0600 /etc/cron.hourly: N/ d6 H# P* @7 o
  53. 检查项目: 检查/etc/cron.daily文件ACL属性# p8 E: }* |# f# C
  54. 加固建议: 执行:chmod 0600 /etc/cron.daily
    ! M1 G  Q1 e; q& c# [8 S
  55. 检查项目: 检查/etc/cron.weekly 文件ACL属性1 e$ {: F2 t8 V" E3 a' L2 U5 \& V
  56. 加固建议: 执行:chmod 0600 /etc/cron.weekly
    2 F" q9 S5 T& y5 Q
  57. 检查项目: 检查/etc/cron.monthly 文件ACL属性3 }2 x  o( n$ _; V! r
  58. 加固建议: 执行:chmod 0600 /etc/cron.monthly
    4 s: \$ @- a  ^4 W0 e* w
  59. 检查项目: 检查/etc/cron.d 文件ACL属性
    9 ]/ k3 k+ ~5 c
  60. 加固建议: 执行:chmod 0600 /etc/cron.d
复制代码
8 G0 R9 U2 e' t" |, ]) R

" T9 _9 t1 ]. A) l1 ~6 \, v/ x

301wz.com,让你的知识更有价值!

回复

使用道具 举报

您需要登录后才可以回帖 登录 | 马上注册

本版积分规则



Archiver|手机版|小黑屋|301技术互助FORUM

GMT+8, 12-16 22:05 , Processed in 0.058115 second(s), 6 queries , Gzip On, Redis On.

Powered by Discuz!

© 2001-2017 Comsenz Inc.

快速回复 返回顶部 返回列表