马上注册,享用更多功能,让你轻松玩转领域。
您需要 登录 才可以下载或查看,没有帐号?马上注册
x
Centos7系统基线合规检测
I9 F" F$ J O. B' a7 a4 H2 G8 Z" ]5 b4 R |- ?: j) d
合规基线检测-Centos7系统基线合规检测. F; I# d# E7 x7 H. H( P
7 R- q2 L. D4 u- 检查项目: 禁止转发ICMP重定向报文% K5 a2 S, m% n. c4 [
- 加固建议: 在 /etc/sysctl.conf 或 /etc/sysctl.d/* 文件中设置以下参数: net.ipv4.conf.all.send_redirects = 0 net.ipv4.conf.default.send_redirects = 0 运行以下命令来设置活动的内核参数: $ sysctl -w net.ipv4.conf.all.send_redirects=0 $ sysctl -w net.ipv4.conf.default.send_redirects=0 $ sysctl -w net.ipv4.route.flush=17 R! @6 \; E& o! N! ^9 W$ \
- 检查项目: 禁止转发ICMP重定向报文7 c- a2 a- G$ h5 l7 w1 s5 `1 c* e
- 加固建议: 在 /etc/sysctl.conf 或 /etc/sysctl.d/* 文件中设置以下参数: net.ipv4.conf.all.send_redirects = 0 net.ipv4.conf.default.send_redirects = 0 运行以下命令来设置活动的内核参数: $ sysctl -w net.ipv4.conf.all.send_redirects=0 $ sysctl -w net.ipv4.conf.default.send_redirects=0 $ sysctl -w net.ipv4.route.flush=1
/ C" G# x$ ? C! U/ X! u - 检查项目: 禁止包含源路由的ip包. u; o' P: V0 }5 C1 S
- 加固建议: 执行sysctl -w net.ipv4.conf.all.accept_redirects=0,再查看/etc/sysctl.conf中是否存在net.ipv4.conf.all.accept_redirects=0,不存在则添加
0 m0 i4 O7 F6 a) m7 j - 检查项目: 禁止包含源路由的ip包
8 B1 R- Z. G1 ]( O0 @: E( b& p0 q3 m - 加固建议: 执行sysctl -w net.ipv4.conf.default.accept_redirects=0,再查看/etc/sysctl.conf中是否存在net.ipv4.conf.default.accept_redirects=0,不存在则添加+ j& V D/ n; r3 C& X% J8 D7 c2 Y
- 检查项目: 禁止转发安全ICMP重定向报文
1 s! V* H5 O& a1 F1 } N" ` - 加固建议: 执行sysctl -w net.ipv4.conf.all.secure_redirects=0,再查看/etc/sysctl.conf中是否存在net.ipv4.conf.all.secure_redirects=0,不存在则添加
; d* G# D, j# Z/ P - 检查项目: 禁止转发安全ICMP重定向报文$ B' W# t9 \0 }3 k( Q, a4 s
- 加固建议: 执行sysctl -w net.ipv4.conf.default.secure_redirects=0,再查看/etc/sysctl.conf中是否存在net.ipv4.conf.default.secure_redirects=0,不存在则添加
7 V! R6 C) [1 X& B- Z( e - 检查项目: 密码授权新密码与老密码不能重复
4 I, Y5 a: P5 M) [9 k# n: a! _ - 加固建议: 在/etc/pam.d/password-auth中password sufficient pam_unix.so 行末尾加remember=6 ,remember的值表示此次设置密码与过去6次不同' K1 x& B1 W$ T
- 检查项目: 系统授权新密码与老密码不能重复: r# L5 U# d7 b" \, ?: R
- 加固建议: 在/etc/pam.d/system-auth中password sufficient pam_unix.so这一行末尾加 remember=6 ,remember的值表示此次设置密码与过去6次不同
' ?/ e$ t3 ]! ^( B: C; ?* j - 检查项目: rsyslog日志文件权限配置
X2 |8 S c0 }% D. {( h3 s - 加固建议: 在/etc/rsyslog.conf中添加:$FileCreateMode 06406 q7 x2 [2 r2 u# y" r6 I3 O) l
- 检查项目: 禁止root直接登录
4 C0 i, o- ^" y: o - 加固建议: 注意:在修改此项之前,请务必创建一个可登陆账号;在/etc/ssh/sshd_config中PermitRootLogin的值:yes设置为no- m( g* Q0 m# @8 @
- 检查项目: SSHD仅记录ssh用户登录活动9 Z _& e, g, {+ z, z6 G
- 加固建议: 在/etc/ssh/sshd_config中取消LogLevel INFO注释符号#/ e: W+ H7 I- i$ M9 E
- 检查项目: SSHD仅记录ssh用户登录活动
8 n3 |2 J: t! T1 S" C - 加固建议: 在/etc/ssh/sshd_config中取消MaxAuthTries注释符号#,设置自定义最大密码尝试失败次数
* `- B0 F5 w4 \6 o1 E - 检查项目: 清理主机远程登录历史主机记录0 [. g0 }0 N& U3 u* Y
- 加固建议: 在/etc/ssh/sshd_config中取消IgnoreRhosts yes注释符号#$ f4 F& d& z4 w8 N: Y
- 检查项目: 禁止空密码用户登录
8 e" I4 c$ ^! w8 M* r) f( i8 N - 加固建议: 在/etc/ssh/sshd_config中取消PermitEmptyPasswords no注释符号#
5 J) l$ f4 U. p3 B1 _4 v- D - 检查项目: 禁止用户修改环境变量8 F) R6 D. c' S1 m/ T
- 加固建议: 在/etc/ssh/sshd_config中取消PermitUserEnvironment no注释符号#
( J0 E3 n5 X4 w( o& s7 g - 检查项目: 设置用户密码最小长度/ u- l" W, N0 I
- 加固建议: 在/etc/security/pwquality.conf中取消minlen注释符号#,同时设置最小密码长度建议10位以上. N) f( |- h! y: h" y7 b5 G7 m( f
- 检查项目: 设置用户密码数字位数6 ^5 j' e$ q8 Y H, R) _/ ?4 u& W
- 加固建议: 在/etc/security/pwquality.conf中取消dcredit注释符号#,同时设置为负数建议-1最少包含1位数字. O4 x6 Z+ I+ Q% w5 f7 S' M
- 检查项目: 设置用户密码大写字母位数
$ y# A6 D. g+ {0 l/ U( u - 加固建议: 在/etc/security/pwquality.conf中取消ucredit注释符号#,同时设置为负数建议-1最少包含1位大写字母
3 @, \* d" q2 V, Q* l, Q( E - 检查项目: 设置用户密码小写字母位数
& ~; o5 K. J8 |& g0 X) K - 加固建议: 在/etc/security/pwquality.conf中取消lcredit注释符号#,同时设置为负数建议-1最少包含1位小写字母8 a) Q) I6 k; k- e$ h- q W) S3 W
- 检查项目: 设置用户密码特殊字符位数4 H- d) v& N5 q. `& G9 K' F; x
- 加固建议: 在/etc/security/pwquality.conf中取消ocredit注释符号#,同时设置为负数建议-1最少包含1位特殊字符
+ O' v% J% e: z, x9 ], G: [ - 检查项目: 强制密码失效时间
0 _8 u5 ?5 V1 V6 S3 X* |* x4 p - 加固建议: 在/etc/login.defs 设置强制密码失效时间,建议值3651 q3 c ~8 H2 L) v( o0 u$ u5 u9 a1 T
- 检查项目: 密码修改最小间隔时间6 o1 R% P, P) R8 r2 O
- 加固建议: 在/etc/login.defs 设置密码修改最小间隔时间,建议值7
( {1 k- ~* i, O8 p! D* ` - 检查项目: 设置有密码账户不活动最大时间! `: M( M. `0 L
- 加固建议: 使用如下命令设置有密码账户不活动最大时间值:useradd -D -f 1095,建议值1095天
: @8 p- {0 j2 ]+ i, g7 ^# H1 W6 s - 检查项目: 检查/boot/grub2/grub.cfg文件ACL属性
" j; q* A* i. J; ?7 A: s4 y3 i, S - 加固建议: 执行:chmod 0600 /boot/grub2/grub.cfg
5 q; B3 {, h3 r7 @6 f( ]8 _! D - 检查项目: 检查/etc/crontab文件ACL属性" o$ X/ c9 J" X, V" {: Q; I5 l
- 加固建议: 执行:chmod 0600 /etc/crontab
7 h6 V" m3 e! ?% S# }# c) ` - 检查项目: 检查/etc/cron.hourly文件ACL属性- h1 i% R3 L! h7 E
- 加固建议: 执行:chmod 0600 /etc/cron.hourly# f# u. u2 a* p* y( I
- 检查项目: 检查/etc/cron.daily文件ACL属性
: {5 _% I! `7 M' V - 加固建议: 执行:chmod 0600 /etc/cron.daily0 P& j$ t, s* |5 }
- 检查项目: 检查/etc/cron.weekly 文件ACL属性
" ~, j( R$ m0 z; G - 加固建议: 执行:chmod 0600 /etc/cron.weekly
0 p1 C' W6 r( ]- v - 检查项目: 检查/etc/cron.monthly 文件ACL属性
: T# p2 K( {2 W6 i) A8 { - 加固建议: 执行:chmod 0600 /etc/cron.monthly
4 @: w* ~8 P- y, `( H) ~1 @ - 检查项目: 检查/etc/cron.d 文件ACL属性
5 K$ r! M* \( U& }& R" [ - 加固建议: 执行:chmod 0600 /etc/cron.d
: r! j8 V5 b4 f; M. B& Z
|
