机器加固

用户口令复杂度

a.检查
对于采用静态口令认证技术的设备,口令长度至少8位,并包括数字、小写字母、大写字母和特殊符号,应配置设备,使用户不能重复使用最近5次(含大于5次)内已使用的口令。

  1. 检查文件/etc/pam.d/system-auth文件是否配置如下项
    password requisite pam_cracklib.so minlen=8 dcredit=-1 ucredit=-1 ocredit=-1 lcredit=-1
    password required pam_pwhistory.so enforce_for_root remember=5
    如果存在则符合安全要求,否则低于安全要求
    b.操作
  2. 备份/etc/pam.d/system-auth文件;
  3. 修改/etc/pam.d/system-auth文件,添加如下两行配置:
    password requisite pam_cracklib.so retry=2 minlen=8 dcredit=-1 ucredit=-1 ocredit=-1 lcredit=-1
    password required pam_pwhistory.so enforce_for_root remember=5

禁止root用户远程登录

a.检查
检查文件/etc/ssh/sshd_config下列行设置是否为no并且未被注释
PermitRootLogin no
b.操作
禁止远程SSH登录:在 /etc/ssh/sshd_config增加
PermitRootLogin no
重启ssh服务

静态口令认证的密码生存周期

a. 检查文件/etc/login.defs
PASS_MAX_DAYS小于等于90并且未被注释;
PASS_WARN_AGE小于等于10并且未被注释;
PASS_MIN_DAYS小于等于6并且未被注释;

b. 操作
对于新增用户,需要配置/etc/login.defs
PASS_MAX_DAYS 90
PASS_MIN_DAYS 6
PASS_WARN_AGE 10

禁止ICMP重定向

a.检查
检查文件/etc/sysctl.conf是否存在类似如下配置项:
net.ipv4.conf.all.accept_redirects = 0
net.ipv4.conf.default.accept_redirects = 0
net.ipv4.conf.all.send_redirects = 0
net.ipv4.conf.default.send_redirects = 0
有则符合安全要求,否则低于安全要求

b.1. 备份文件/etc/sysctl.conf
2. 修改配置文件/etc/sysctl.conf添加或修改如下配置项:
net.ipv4.conf.all.accept_redirects = 0
net.ipv4.conf.default.accept_redirects = 0
net.ipv4.conf.all.send_redirects = 0
net.ipv4.conf.default.send_redirects = 0
3. 执行命令
/sbin/sysctl -e -p /etc/sysctl.conf

口令安全策略配置

a.检查
在配置文件/etc/security/pwquality.conf,查看对应的配置项是否低于一下配置

difok = 5
minlen = 9
dcredit = -1
ucredit = -1
lcredit = -1
ocredit = -1
pwquality.conf主要参数
1、设置旧密码中不能出现的新密码中的字符数
difok = 5 表示不能出现5次
2、设置最小密码长度。 用户不能将密码长度设置为小于此参数
minlen=9 最小长度不能小于9
3、新密码中至少需要一位数字
dcredit=-1
4、新密码中至少需要一个大写字符
ucredit=-1
5、新密码中至少需要一个小写字符
lcredit=-1
6、新密码中至少需要一个其他字符
ocredit=-1
7、为新密码设置所需的最少字符类数(种类?大写字母/小写字母/数字/特殊字符)
minclass=-2
8、在新密码中设置允许的连续相同字符的最大数量
maxrepeat=3
9、在新密码中设置同一类的最大允许连续字符数
maxclassrepeat = 4
10、检查新密码中是否包含用户passwd项的GECOS字段中长度超过3个字符的单词 1是启用
gecoscheck = 0
11、dictpath = 指定通往cracklib字典的路径,默认使用系统自带cracklib Default字典
1.使用vim编辑器修改口令复杂度文件:
vim /etc/se

b.根据安全需要对口令安全策略进行配置,使用vim编辑改文件后,保存即可

关闭history

a.检查

b.操作
1、关闭history记录功能,set +o history
2、vim .bash_profile
添加上:
export HISTSIZE=0
source .bash_profile
3、vim .bashrc
添加上:
export HISTSIZE=0
source .bashrc
4、查看是否已关闭history记录功能,无法看到任何历史命令:
使用up键
或者
history

posted @ 2025-12-08 18:53  静水深耕,云停风驻  阅读(12)  评论(0)    收藏  举报