301站长网_301站长技术互助论坛

 找回密码
 马上注册
搜索
热搜: 站长 discuz zblog

[服务器类] Centos7系统基线合规检测

[复制链接]

马上注册,享用更多功能,让你轻松玩转领域。

您需要 登录 才可以下载或查看,没有帐号?马上注册

x
Centos7系统基线合规检测
  I9 F" F$ J  O. B' a7 a4 H2 G8 Z" ]5 b4 R  |- ?: j) d
合规基线检测-Centos7系统基线合规检测. F; I# d# E7 x7 H. H( P

7 R- q2 L. D4 u
  1. 检查项目: 禁止转发ICMP重定向报文% K5 a2 S, m% n. c4 [
  2. 加固建议: 在 /etc/sysctl.conf 或 /etc/sysctl.d/* 文件中设置以下参数: net.ipv4.conf.all.send_redirects = 0 net.ipv4.conf.default.send_redirects = 0 运行以下命令来设置活动的内核参数: $ sysctl -w net.ipv4.conf.all.send_redirects=0 $ sysctl -w net.ipv4.conf.default.send_redirects=0 $ sysctl -w net.ipv4.route.flush=17 R! @6 \; E& o! N! ^9 W$ \
  3. 检查项目: 禁止转发ICMP重定向报文7 c- a2 a- G$ h5 l7 w1 s5 `1 c* e
  4. 加固建议: 在 /etc/sysctl.conf 或 /etc/sysctl.d/* 文件中设置以下参数: net.ipv4.conf.all.send_redirects = 0 net.ipv4.conf.default.send_redirects = 0 运行以下命令来设置活动的内核参数: $ sysctl -w net.ipv4.conf.all.send_redirects=0 $ sysctl -w net.ipv4.conf.default.send_redirects=0 $ sysctl -w net.ipv4.route.flush=1
    / C" G# x$ ?  C! U/ X! u
  5. 检查项目: 禁止包含源路由的ip包. u; o' P: V0 }5 C1 S
  6. 加固建议: 执行sysctl -w net.ipv4.conf.all.accept_redirects=0,再查看/etc/sysctl.conf中是否存在net.ipv4.conf.all.accept_redirects=0,不存在则添加
    0 m0 i4 O7 F6 a) m7 j
  7. 检查项目: 禁止包含源路由的ip包
    8 B1 R- Z. G1 ]( O0 @: E( b& p0 q3 m
  8. 加固建议: 执行sysctl -w net.ipv4.conf.default.accept_redirects=0,再查看/etc/sysctl.conf中是否存在net.ipv4.conf.default.accept_redirects=0,不存在则添加+ j& V  D/ n; r3 C& X% J8 D7 c2 Y
  9. 检查项目: 禁止转发安全ICMP重定向报文
    1 s! V* H5 O& a1 F1 }  N" `
  10. 加固建议: 执行sysctl -w net.ipv4.conf.all.secure_redirects=0,再查看/etc/sysctl.conf中是否存在net.ipv4.conf.all.secure_redirects=0,不存在则添加
    ; d* G# D, j# Z/ P
  11. 检查项目: 禁止转发安全ICMP重定向报文$ B' W# t9 \0 }3 k( Q, a4 s
  12. 加固建议: 执行sysctl -w net.ipv4.conf.default.secure_redirects=0,再查看/etc/sysctl.conf中是否存在net.ipv4.conf.default.secure_redirects=0,不存在则添加
    7 V! R6 C) [1 X& B- Z( e
  13. 检查项目: 密码授权新密码与老密码不能重复
    4 I, Y5 a: P5 M) [9 k# n: a! _
  14. 加固建议: 在/etc/pam.d/password-auth中password sufficient pam_unix.so 行末尾加remember=6 ,remember的值表示此次设置密码与过去6次不同' K1 x& B1 W$ T
  15. 检查项目: 系统授权新密码与老密码不能重复: r# L5 U# d7 b" \, ?: R
  16. 加固建议: 在/etc/pam.d/system-auth中password sufficient pam_unix.so这一行末尾加 remember=6 ,remember的值表示此次设置密码与过去6次不同
    ' ?/ e$ t3 ]! ^( B: C; ?* j
  17. 检查项目: rsyslog日志文件权限配置
      X2 |8 S  c0 }% D. {( h3 s
  18. 加固建议: 在/etc/rsyslog.conf中添加:$FileCreateMode 06406 q7 x2 [2 r2 u# y" r6 I3 O) l
  19. 检查项目: 禁止root直接登录
    4 C0 i, o- ^" y: o
  20. 加固建议: 注意:在修改此项之前,请务必创建一个可登陆账号;在/etc/ssh/sshd_config中PermitRootLogin的值:yes设置为no- m( g* Q0 m# @8 @
  21. 检查项目: SSHD仅记录ssh用户登录活动9 Z  _& e, g, {+ z, z6 G
  22. 加固建议: 在/etc/ssh/sshd_config中取消LogLevel INFO注释符号#/ e: W+ H7 I- i$ M9 E
  23. 检查项目: SSHD仅记录ssh用户登录活动
    8 n3 |2 J: t! T1 S" C
  24. 加固建议: 在/etc/ssh/sshd_config中取消MaxAuthTries注释符号#,设置自定义最大密码尝试失败次数
    * `- B0 F5 w4 \6 o1 E
  25. 检查项目: 清理主机远程登录历史主机记录0 [. g0 }0 N& U3 u* Y
  26. 加固建议: 在/etc/ssh/sshd_config中取消IgnoreRhosts yes注释符号#$ f4 F& d& z4 w8 N: Y
  27. 检查项目: 禁止空密码用户登录
    8 e" I4 c$ ^! w8 M* r) f( i8 N
  28. 加固建议: 在/etc/ssh/sshd_config中取消PermitEmptyPasswords no注释符号#
    5 J) l$ f4 U. p3 B1 _4 v- D
  29. 检查项目: 禁止用户修改环境变量8 F) R6 D. c' S1 m/ T
  30. 加固建议: 在/etc/ssh/sshd_config中取消PermitUserEnvironment no注释符号#
    ( J0 E3 n5 X4 w( o& s7 g
  31. 检查项目: 设置用户密码最小长度/ u- l" W, N0 I
  32. 加固建议: 在/etc/security/pwquality.conf中取消minlen注释符号#,同时设置最小密码长度建议10位以上. N) f( |- h! y: h" y7 b5 G7 m( f
  33. 检查项目: 设置用户密码数字位数6 ^5 j' e$ q8 Y  H, R) _/ ?4 u& W
  34. 加固建议: 在/etc/security/pwquality.conf中取消dcredit注释符号#,同时设置为负数建议-1最少包含1位数字. O4 x6 Z+ I+ Q% w5 f7 S' M
  35. 检查项目: 设置用户密码大写字母位数
    $ y# A6 D. g+ {0 l/ U( u
  36. 加固建议: 在/etc/security/pwquality.conf中取消ucredit注释符号#,同时设置为负数建议-1最少包含1位大写字母
    3 @, \* d" q2 V, Q* l, Q( E
  37. 检查项目: 设置用户密码小写字母位数
    & ~; o5 K. J8 |& g0 X) K
  38. 加固建议: 在/etc/security/pwquality.conf中取消lcredit注释符号#,同时设置为负数建议-1最少包含1位小写字母8 a) Q) I6 k; k- e$ h- q  W) S3 W
  39. 检查项目: 设置用户密码特殊字符位数4 H- d) v& N5 q. `& G9 K' F; x
  40. 加固建议: 在/etc/security/pwquality.conf中取消ocredit注释符号#,同时设置为负数建议-1最少包含1位特殊字符
    + O' v% J% e: z, x9 ], G: [
  41. 检查项目: 强制密码失效时间
    0 _8 u5 ?5 V1 V6 S3 X* |* x4 p
  42. 加固建议: 在/etc/login.defs 设置强制密码失效时间,建议值3651 q3 c  ~8 H2 L) v( o0 u$ u5 u9 a1 T
  43. 检查项目: 密码修改最小间隔时间6 o1 R% P, P) R8 r2 O
  44. 加固建议: 在/etc/login.defs 设置密码修改最小间隔时间,建议值7
    ( {1 k- ~* i, O8 p! D* `
  45. 检查项目: 设置有密码账户不活动最大时间! `: M( M. `0 L
  46. 加固建议: 使用如下命令设置有密码账户不活动最大时间值:useradd -D -f 1095,建议值1095天
    : @8 p- {0 j2 ]+ i, g7 ^# H1 W6 s
  47. 检查项目: 检查/boot/grub2/grub.cfg文件ACL属性
    " j; q* A* i. J; ?7 A: s4 y3 i, S
  48. 加固建议: 执行:chmod 0600 /boot/grub2/grub.cfg
    5 q; B3 {, h3 r7 @6 f( ]8 _! D
  49. 检查项目: 检查/etc/crontab文件ACL属性" o$ X/ c9 J" X, V" {: Q; I5 l
  50. 加固建议: 执行:chmod 0600 /etc/crontab
    7 h6 V" m3 e! ?% S# }# c) `
  51. 检查项目: 检查/etc/cron.hourly文件ACL属性- h1 i% R3 L! h7 E
  52. 加固建议: 执行:chmod 0600 /etc/cron.hourly# f# u. u2 a* p* y( I
  53. 检查项目: 检查/etc/cron.daily文件ACL属性
    : {5 _% I! `7 M' V
  54. 加固建议: 执行:chmod 0600 /etc/cron.daily0 P& j$ t, s* |5 }
  55. 检查项目: 检查/etc/cron.weekly 文件ACL属性
    " ~, j( R$ m0 z; G
  56. 加固建议: 执行:chmod 0600 /etc/cron.weekly
    0 p1 C' W6 r( ]- v
  57. 检查项目: 检查/etc/cron.monthly 文件ACL属性
    : T# p2 K( {2 W6 i) A8 {
  58. 加固建议: 执行:chmod 0600 /etc/cron.monthly
    4 @: w* ~8 P- y, `( H) ~1 @
  59. 检查项目: 检查/etc/cron.d 文件ACL属性
    5 K$ r! M* \( U& }& R" [
  60. 加固建议: 执行:chmod 0600 /etc/cron.d
复制代码
4 z: @, w  f' s2 r8 ?, I' i
: r! j8 V5 b4 f; M. B& Z

301wz.com,让你的知识更有价值!

回复

使用道具 举报

您需要登录后才可以回帖 登录 | 马上注册

本版积分规则



Archiver|手机版|小黑屋|301站长技术互助论坛

GMT+8, 2-23 07:43 , Processed in 0.060615 second(s), 7 queries , Gzip On, Redis On.

Powered by Discuz!

© 2001-2017 Comsenz Inc.

快速回复 返回顶部 返回列表