系統-CentOS Linux 7安全基線檢查:
檢查項目 : 設置密碼失效時間
加固建議: 在 /etc/login.defs 中將 PASS_MAX_DAYS 參數設置爲 60-180之間,如 PASS_MAX_DAYS 90。需同時執行命令設置root密碼失效時間: chage --maxdays 90 root。
檢查項目 : 設置密碼修改最小間隔時間
加固建議: 在 /etc/login.defs 中將 PASS_MIN_DAYS 參數設置爲5-14之間,建議爲7:
PASS_MIN_DAYS 7 需同時執行命令爲root用戶設置:
chage --mindays 7 root
檢查項目 : 禁止SSH空密碼用戶登錄
加固建議: 在/etc/ssh/sshd_config中取消PermitEmptyPasswords no註釋符號#
檢查項目 : 確保SSH MaxAuthTries設置爲3到6之間
加固建議: 在/etc/ssh/sshd_config中取消MaxAuthTries註釋符號#,設置最大密碼嘗試失敗次數3-6,建議爲5:MaxAuthTries 5
檢查項目 : SSHD強制使用V2安全協議
加固建議: 編輯 /etc/ssh/sshd_config 文件以按如下方式設置參數: Protocol 2
檢查項目 : 設置SSH空閒超時退出時間
加固建議: 編輯/etc/ssh/sshd_config,將ClientAliveInterval 設置爲300到900,即5-15分鐘,將ClientAliveCountMax設置爲0。
ClientAliveInterval 300
ClientAliveCountMax 0
檢查項目 : 確保SSH LogLevel設置爲INFO
加固建議: 編輯 /etc/ssh/sshd_config 文件以按如下方式設置參數(取消註釋):
LogLevel INFO
檢查項目 : 設置用戶權限配置文件的權限
加固建議: 執行以下5條命令
chown root:root /etc/passwd /etc/shadow /etc/group /etc/gshadow
chmod 0644 /etc/group
chmod 0644 /etc/passwd
chmod 0400 /etc/shadow
chmod 0400 /etc/gshadow