檢查項目 : 確保禁止數據包重定向發送
加固建議: 在 /etc/sysctl.conf 文件中設置以下參數: net.ipv4.conf.all.send_redirects = 0 net.ipv4.conf.default.send_redirects = 0 運行以下命令來設置活動的內核參數: $ sysctl -w net.ipv4.conf.all.send_redirects=0 $ sysctl -w net.ipv4.conf.default.send_redirects=0 $ sysctl -w net.ipv4.route.flush=1
檢查項目 : 確保不接受ICMP重定向
加固建議: 在 /etc/sysctl.conf 文件中設置以下參數: net.ipv4.conf.all.accept_redirects = 0 net.ipv4.conf.default.accept_redirects = 0 運行以下命令來設置活動的內核參數: $ sysctl -w net.ipv4.conf.all.accept_redirects=0 $ sysctl -w net.ipv4.conf.default.accept_redirects=0 $ sysctl -w net.ipv4.route.flush=1
檢查項目 : 確保不接受安全的ICMP重定向
加固建議: 在 /etc/sysctl.conf 文件中設置以下參數: net.ipv4.conf.all.secure_redirects = 0 net.ipv4.conf.default.secure_redirects = 0 運行以下命令來設置活動的內核參數: $ sysctl -w net.ipv4.conf.all.secure_redirects=0 $ sysctl -w net.ipv4.conf.default.secure_redirects=0 $ sysctl -w net.ipv4.route.flush=1
檢查項目 : 確保已配置rsyslog默認文件權限
加固建議: 編輯/etc/rsyslog.conf並將 $FileCreateMode 設置爲 0640 或更具限制性: $FileCreateMode 0640
檢查項目 : 確保配置/etc/crontab上的權限
加固建議: 運行以下命令以在49304381??005478634026上設置所有權和權限: $ chown root:root /etc/crontab $ chmod og-rwx /etc/crontab
檢查項目 : 確保配置/etc/cron.hourly上的權限
加固建議: 運行以下命令以設置 /etc/cron.hourly 的所有權和權限: $ chown root:root /etc/cron.hourly $ chmod og-rwx /etc/cron.hourly
檢查項目 : 確保配置/etc/cron.weekly上的權限
加固建議: 運行以下命令以設置 /etc/cron.weekly 上的所有權和權限: $ chown root:root /etc/cron.weekly $ chmod og-rwx /etc/cron.weekly
檢查項目 : 確保配置/etc/cron.daily上的權限
加固建議: 運行以下命令以設置 /etc/cron.daily 上的所有權和權限: $ chown root:root /etc/cron.daily $ chmod og-rwx /etc/cron.daily
檢查項目 : 確保配置/etc/cron.monthly上的權限
加固建議: 運行以下命令以設置所有權和權限 /etc/cron.monthly : $ chown root:root /etc/cron.monthly $ chmod og-rwx /etc/cron.monthly
檢查項目 : 確保配置/etc/cron.d上的權限
加固建議: 運行以下命令以在 /etc/cron.d 上設置所有權和權限: $ chown root:root /etc/cron.d $ chmod og-rwx /etc/cron.d
檢查項目 : 確保SSH LogLevel設置爲INFO
加固建議: 編輯 /etc/ssh/sshd_config 文件以按如下方式設置參數: LogLevel INFO
檢查項目 : 確保禁用SSH X11轉發
加固建議: 編輯 /etc/ssh/sshd_config 文件以設置參數,如下所示: X11Forwarding no
檢查項目 : 確保SSH MaxAuthTries設置爲4或更少
加固建議: 編輯 /etc/ssh/sshd_config 文件以設置參數,如下所示: MaxAuthTries 4
檢查項目 : 確保禁用SSH根登錄
加固建議: 編輯 /etc/ssh/sshd_config 文件以按如下方式設置參數: PermitRootLogin no
檢查項目 : 確保配置了SSH警告標語
加固建議: 編輯 /etc/ssh/sshd_config 文件以設置參數,如下所示: Banner /etc/issue.net 5.3配置PAM PAM(可插入認證模塊)是一種在UNIX系統上實現模塊化認證模塊的服務。 PAM被實現爲一組共享對象,當程序需要對用戶進行身份驗證時,該對象被加載並執行。 PAM的文件通常位於 /etc/pam.d 目錄中。必須仔細配置PAM以確保系統身份驗證。雖然本節介紹了一些PAM,但請參閱其他PAM資源以充分了解配置功能。
檢查項目 : 確保默認用戶umask是027或更多的限制
加固建議: 編輯 /etc/bashrc 和 /etc/profile 文件(以及系統支持的任何其他shell的相應文件),並添加或編輯任何umask參數,如下所示: umask 027
檢查項目 : 確保對su命令的訪問受到限制
加固建議: 將以下行添加到 /etc/pam.d/su 文件中: auth required pam_wheel.so use_uid 在 /etc/group 文件的wheel語句中創建逗號分隔的用戶列表: wheel:x:10:root,<user list>
檢查項目 : 確保配置/ etc / shadow上的權限
加固建議: 運行以下命令以在 /etc/shadow 上設置權限: $ chown root:root /etc/shadow $ chmod 000 /etc/shadow
檢查項目 : 確保配置/ etc / gshadow上的權限
加固建議: 運行以下chown在 /etc/gshadow 上設置權限: $ chown root:root /etc/gshadow $ chmod 000 /etc/gshadow
檢查項目 : 確保密碼重用是有限的
加固建議: 編輯 /etc/pam.d/password-auth 和 /etc/pam.d/system-auth 文件以包含 remember 選項並符合站點策略,如圖所示: password sufficient pam_unix.so remember=5
檢查項目 : 確保密碼到期時間爲90天或更短
加固建議: 在 /etc/login.defs 中將 PASS_MAX_DAYS 參數設置爲 90 : PASS_MAX_DAYS 90 修改所有用戶密碼設置爲匹配的用戶參數: $ chage --maxdays 90 <user>
檢查項目 : 確保密碼更改之間的最短天數爲7或更多
加固建議: 在 /etc/login.defs 中將 PASS_MIN_DAYS 參數設置爲7: PASS_MIN_DAYS 7 修改密碼設置爲匹配的所有用戶的用戶參數: $ chage --mindays 7 <user>
檢查項目 : 確保密碼到期警告天數爲7或更多
加固建議: 在 /etc/login.defs 中將 PASS_WARN_AGE 參數設置爲7: PASS_WARN_AGE 7 修改密碼設置爲匹配的所有用戶的用戶參數: $ chage --warndays 7 <user>
檢查項目 : 確保無效的密碼鎖定時間爲30天或更短
加固建議: 運行以下命令將默認密碼非活動期設置爲30天: $ useradd -D -f 30 修改密碼設置爲匹配的所有用戶的用戶參數: $ chage --inactive 30 <user>