阿里云Linux系统基线检查优化

1、用户权限配置文件的权限优化

描述:设置用户权限配置文件的权限


操作时建议做好记录或备份
chown root:root /etc/passwd /etc/shadow /etc/group /etc/gshadow
chmod 0644 /etc/group 
chmod 0644 /etc/passwd 
chmod 0400 /etc/shadow 
chmod 0400 /etc/gshadow
cat /etc/passwd | awk -F: '($3 == 0) { print $1 }'|grep -v '^root$'	#查看root的id=0的唯一性

2、ssh服务优化

编辑/etc/ssh/sshd_config文件,修改以下参数:
LogLevel INFO	#确保SSH LogLevel设置为INFO,记录登录和注销活动
#将ClientAliveInterval 设置为300到900,即5-15分钟,将ClientAliveCountMax设置为0。
ClientAliveInterval 900 	#设置SSH空闲超时退出时间,可降低未授权用户访问其他用户ssh会话的风险
ClientAliveCountMax 0	    
Protocol 2				   #SSHD强制使用V2安全协议
MaxAuthTries 4			#设置较低的Max AuthTrimes参数将降低SSH服务器被暴力攻击成功的风险。设置最大密码						尝试失败次数3-6,建议为4
PermitEmptyPasswords no		#禁止SSH空密码用户登录

3、身份鉴别优化

编辑/etc/login.defs文件,修改以下参数:

PASS_MIN_DAYS 7		#设置密码修改最小间隔时间,限制密码更改过于频繁
PASS_MAX_DAYS 90	#设置密码失效时间 

#参数1注解:在 /etc/login.defs 中将 PASS_MIN_DAYS 参数设置为7-14之间,建议为7: PASS_MIN_DAYS 7 需同时执行命令为root用户设置: chage --mindays 7 root

#参数2注解:设置密码失效时间,强制定期修改密码,减少密码被泄漏和猜测风险,使用非密码登陆方式(如密钥对)请忽略此项。
#使用非密码登陆方式如密钥对,请忽略此项。在 /etc/login.defs 中将 PASS_MAX_DAYS 参数设置为 60-180之间,如 PASS_MAX_DAYS 90。需同时执行命令设置root密码失效时间: chage --maxdays 90 root。
posted @ 2019-04-10 14:16  烟雨浮华  阅读(922)  评论(0编辑  收藏