阿里基線安全

風險名稱

檢查項分類

檢查項名稱

檢查項描述

風險等級

修復建議

阿里雲標準-CentOS Li

身份鑑別

密碼複雜度檢查

檢查密碼長度和密碼是

高危

編輯/etc/security/pwquality.conf，把minlen（密碼最小長度）設置爲9-32位，把minclass（至少包含小寫字母、大寫字母、數字、特殊字符等4類字符中等3類或4類）設置爲3或4。如： ``` minlen=10 minclass=3 ```

阿里雲標準-CentOS Li

服務配置

設置SSH空閒超時退出時間

設置SSH空閒超時退出

高危

編輯/etc/ssh/sshd_config，將ClientAliveInterval 設置爲300到900，即5-15分鐘，將ClientAliveCountMax設置爲0-3之間。 ``` ClientAliveInterval 600 ClientAliveCountMax 2 ```

阿里雲標準-CentOS Li

身份鑑別

檢查密碼重用是否受限制

強制用戶不重用最近使

高危

在/etc/pam.d/password-auth和/etc/pam.d/system-auth中password sufficient pam_unix.so 這行的末尾配置remember參數爲5-24之間，原來的內容不用更改，只在末尾加了remember=5。

阿里雲標準-CentOS Li

身份鑑別

設置密碼修改最小間隔時間

設置密碼修改最小間隔

高危

在 /etc/login.defs 中將 PASS_MIN_DAYS 參數設置爲7-14之間,建議爲7：  ``` PASS_MIN_DAYS 7  ``` 需同時執行命令爲root用戶設置： ``` chage --mindays 7 root ```

阿里雲標準-CentOS Li

身份鑑別

設置密碼失效時間

設置密碼失效時間，強

高危

`使用非密碼登陸方式如密鑰對，請忽略此項。`在 `/etc/login.defs `中將 PASS_MAX_DAYS 參數設置爲 60-180之間，如: ``` PASS_MAX_DAYS 90 ``` 需同時執行命令設置root密碼失效時間： ```  chage --maxdays 90 root ```

阿里雲標準-CentOS Li

身份鑑別

檢查密碼重用是否受限制

強制用戶不重用最近使

高危

在/etc/pam.d/password-auth和/etc/pam.d/system-auth中password sufficient pam_unix.so 這行的末尾配置remember參數爲5-24之間，原來的內容不用更改，只在末尾加了remember=5。

阿里雲標準-CentOS Li

身份鑑別

設置密碼失效時間

設置密碼失效時間，強

高危

`使用非密碼登陸方式如密鑰對，請忽略此項。`在 `/etc/login.defs `中將 PASS_MAX_DAYS 參數設置爲 60-180之間，如: ``` PASS_MAX_DAYS 90 ``` 需同時執行命令設置root密碼失效時間： ```  chage --maxdays 90 root ```

阿里雲標準-CentOS Li

服務配置

設置SSH空閒超時退出時間

設置SSH空閒超時退出

高危

編輯/etc/ssh/sshd_config，將ClientAliveInterval 設置爲300到900，即5-15分鐘，將ClientAliveCountMax設置爲0-3之間。 ``` ClientAliveInterval 600 ClientAliveCountMax 2 ```

阿里雲標準-CentOS Li

身份鑑別

設置密碼修改最小間隔時間

設置密碼修改最小間隔

高危

在 /etc/login.defs 中將 PASS_MIN_DAYS 參數設置爲7-14之間,建議爲7：  ``` PASS_MIN_DAYS 7  ``` 需同時執行命令爲root用戶設置： ``` chage --mindays 7 root ```

阿里雲標準-CentOS Li

身份鑑別

密碼複雜度檢查

檢查密碼長度和密碼是

高危

編輯/etc/security/pwquality.conf，把minlen（密碼最小長度）設置爲9-32位，把minclass（至少包含小寫字母、大寫字母、數字、特殊字符等4類字符中等3類或4類）設置爲3或4。如： ``` minlen=10 minclass=3 ```

阿里雲標準-Windows 2

訪問控制

匿名賬戶訪問控制

匿名賬戶訪問控制

高危

在管理工具打開本地安全策略，打開路徑:安全設置\本地策略\安全選項。將網絡訪問中“Everyone權限應用於匿名用戶“設置爲：已禁用，將“不允許SAM帳戶的匿名枚舉“設置爲：已啓用，將“不允許SAM帳戶和共享的匿名枚舉”設置爲：已啓用，將”允許匿名SID/名稱轉換“設置爲：已禁用。

阿里雲標準-Windows 2

身份鑑別

配置賬戶鎖定策略

配置賬戶鎖定策略，降

高危

在管理工具打開本地安全策略，打開路徑:`安全設置\帳戶策略\賬戶鎖定策略`。將賬戶鎖定閾值設置爲3-8之間，建議值爲5，輸錯5次密碼鎖定賬戶；然後將賬戶鎖定時間和重置賬戶鎖定計數器設置爲10-30之間，建議值爲15，賬戶鎖定時間爲15分鐘。

阿里雲標準-Windows 2

身份鑑別

'強制密碼歷史'設置爲5-24之間

設置強制密碼歷史,防

高危

在管理工具打開本地安全策略，打開路徑:`安全設置\帳戶策略\密碼策略`，將強制密碼歷史設置爲5-24之間

阿里雲標準-Windows 2

身份鑑別

密碼複雜性配置

設置強密碼，減少密碼

高危

在管理工具打開本地安全策略，打開路徑:`(計算機策略\計算機配置\Windows設置)安全設置\帳戶策略\密碼策略`，將密碼必須符合複雜性要求設置爲`已啓用`，將密碼最小長度設置爲8以上。

阿里雲標準-Windows 2

安全審計

應啓用安全審計功能，審計覆蓋到每個用

開啓審覈策略，對重要

高危

在管理工具打開本地安全策略，打開路徑:`安全設置\本地策略\審覈策略`，將全部審覈策略配置爲：`成功,失敗`。包括審覈策略更改、審覈對象訪問、審覈進程跟蹤、審覈目錄服務訪問、審覈賬戶登陸事件、審覈特權使用、審覈系統事件、審覈賬戶管理、審覈登陸事件共九項。

阿里雲標準-Windows 2

身份鑑別

設置密碼使用期限策略

設置密碼使用期限策略

高危

在管理工具打開本地安全策略，打開路徑:`安全設置\帳戶策略\密碼策略`，將密碼最長使用期限設置爲30-180之間，建議值爲`90`，將密碼最短使用期限設置爲1-14之間，建議值爲`7`.

阿里雲標準-Redis安全

服務配置

修改默認6379端口

避免使用熟知的端口,

高危

編輯文件redis的配置文件redis.conf，找到包含port的行，將默認的6379修改爲自定義的端口號，然後重啓redis

阿里雲標準-Redis安全

文件權限

限制redis 配置文件訪問權限

因爲redis密碼明文存

高危

執行以下命令修改配置文件權限： ``` chmod 600 /<filepath>/redis.conf ```

阿里雲標準-Redis安全

入侵防範

禁用或者重命名危險命令

Redis中線上使用keys

高危

修改 redis.conf 文件，添加 ``` rename-command FLUSHALL "" rename-command FLUSHDB  "" rename-command CONFIG   "" rename-command KEYS     "" rename-command SHUTDOWN "" rename-command DEL "" rename-command EVAL "" ``` 然後重啓redis。 重命名爲"" 代表禁用命令，如想保留命令，可以重命名爲不可猜測的字符串，如： `rename-command FLUSHALL  joYAPNXRPmcarcR4ZDgC`

阿里雲標準-Redis安全

訪問控制

禁止使用root用戶啓動

使用root權限去運行網

高危

使用root切換到redis用戶啓動服務: ``` useradd -s /sbin/nolog -M redis  sudo -u redis /<redis-server-path>/redis-server /<configpath>/redis.conf  ```

阿里雲標準-Redis安全

入侵防範

禁用或者重命名危險命令

Redis中線上使用keys

高危

修改 redis.conf 文件，添加 ``` rename-command FLUSHALL "" rename-command FLUSHDB  "" rename-command CONFIG   "" rename-command KEYS     "" rename-command SHUTDOWN "" rename-command DEL "" rename-command EVAL "" ``` 然後重啓redis。 重命名爲"" 代表禁用命令，如想保留命令，可以重命名爲不可猜測的字符串，如： `rename-command FLUSHALL  joYAPNXRPmcarcR4ZDgC`

阿里雲標準-Redis安全

服務配置

修改默認6379端口

避免使用熟知的端口,

高危

編輯文件redis的配置文件redis.conf，找到包含port的行，將默認的6379修改爲自定義的端口號，然後重啓redis

阿里雲標準-Redis安全

訪問控制

打開保護模式

redis默認開啓保護模

高危

redis.conf安全設置： # 打開保護模式 protected-mode yes

阿里雲標準-Redis安全

訪問控制

禁止使用root用戶啓動

使用root權限去運行網

高危

使用root切換到redis用戶啓動服務: ``` useradd -s /sbin/nolog -M redis  sudo -u redis /<redis-server-path>/redis-server /<configpath>/redis.conf  ```

阿里雲標準-Redis安全

文件權限

限制redis 配置文件訪問權限

因爲redis密碼明文存

高危

執行以下命令修改配置文件權限： ``` chmod 600 /<filepath>/redis.conf ```

阿里雲標準-Mysql安全

服務配置

修改默認3306端口

避免使用熟知的端口,

中危

編輯/etc/my.cnf文件，[mysqld] 段落中配置新的端口參數，並重啓mysql服務： ``` port=3506  ```

阿里雲標準-Mysql安全

身份鑑別

確保沒有用戶配置了通配符主機名

避免在主機名中只使用

高危

執行SQL更新語句，爲每個用戶指定允許連接的host範圍。 1.  登錄數據庫，執行`use mysql;` ； 2.  執行語句`select user,Host from user where Host='%';`查看HOST爲通配符的用戶; 3.  刪除用戶或者修改用戶host字段，刪除語句：`DROP USER 'user_name'@'%';` 。更新語句：`update user set host = <new_host> where host = '%';`。 4.  執行SQL語句: ``` OPTIMIZE TABLE user; flush privileges; ```

阿里雲標準-Mysql安全

服務配置

禁用symbolic-links選項

禁用符號鏈接以防止各

高危

編輯Mysql配置文件/etc/my.cnf，在[mysqld] 段落中配置`symbolic-links=0`，5.6及以上版本應該配置爲`skip_symbolic_links=yes`，並重啓mysql服務。

阿里雲標準-Mysql安全

訪問控制

禁用local-infile選項

禁用local_infile選項

高危

編輯Mysql配置文件/etc/my.cnf，在[mysqld] 段落中配置local-infile參數爲0，並重啓mysql服務：  ```  local-infile=0  ```

阿里雲標準-Mysql安全

服務配置

禁用symbolic-links選項

禁用符號鏈接以防止各

高危

編輯Mysql配置文件/etc/my.cnf，在[mysqld] 段落中配置`symbolic-links=0`，5.6及以上版本應該配置爲`skip_symbolic_links=yes`，並重啓mysql服務。

阿里雲標準-Mysql安全

身份鑑別

確保沒有用戶配置了通配符主機名

避免在主機名中只使用

高危

執行SQL更新語句，爲每個用戶指定允許連接的host範圍。 1.  登錄數據庫，執行`use mysql;` ； 2.  執行語句`select user,Host from user where Host='%';`查看HOST爲通配符的用戶; 3.  刪除用戶或者修改用戶host字段，刪除語句：`DROP USER 'user_name'@'%';` 。更新語句：`update user set host = <new_host> where host = '%';`。 4.  執行SQL語句: ``` OPTIMIZE TABLE user; flush privileges; ```

阿里雲標準-Mysql安全

服務配置

修改默認3306端口

避免使用熟知的端口,

中危

編輯/etc/my.cnf文件，[mysqld] 段落中配置新的端口參數，並重啓mysql服務： ``` port=3506  ```

阿里雲標準-Mysql安全

訪問控制

禁用local-infile選項

禁用local_infile選項

高危

編輯Mysql配置文件/etc/my.cnf，在[mysqld] 段落中配置local-infile參數爲0，並重啓mysql服務：  ```  local-infile=0  ```

阿里雲標準-Mysql安全

服務配置

刪除'test'數據庫

測試數據庫可供所有用

高危

登陸數據庫執行以下SQL語句刪除test數據庫： ``` DROP DATABASE test; flush privileges; ```

阿里雲標準-Apache安

配置日誌

確保錯誤日誌文件名和嚴重性級別配置正

服務器錯誤日誌非常寶

高危

1.使用vim編輯器對配置文件進行編輯 `vim path` (`path爲主配置文件的絕對路徑，如果您的主配置文件中包含`include <path>`，則<path>爲您的子配置文件路徑)  2.找到`LogLevel `將其設置爲`LogLevel notice `  3.找到`ErrorLog `將其設置爲`ErrorLog "logs/error_log"` 如沒有，請增加

阿里雲標準-Apache安

個人信息保護

隱藏 Apache 的版本號及其它敏感信息

服務器簽名在服務器充

中危

1.使用vim編輯器對配置文件進行編輯 `vim path`path爲主配置文件的絕對路徑，如果您的主配置文件中包含`include <path>`，則<path>爲您的子配置文件路徑） 2.找到`ServerSignature`將其設置爲`ServerSignature Off ` 如沒有，請增加

阿里雲標準-Apache安

入侵防範

確保正確設置KeepAliveTimeout

KeepAliveTimeout指

高危

1.使用vim編輯器對配置文件進行編輯 `vim path`（path爲主配置文件的絕對路徑，如果您的主配置文件中包含`include <path>`，則<path>爲您的子配置文件路徑） 2.找到`KeepAliveTimeout`將其設置爲 ```KeepAliveTimeout  15``` 如沒有，請增加

阿里雲標準-Apache安

服務配置

確保keepAlive已啓用

允許每個客戶端重用TC

高危

1.使用vim編輯器對配置文件進行編輯 `vim path`（path爲主配置文件的絕對路徑，如果您的主配置文件中包含`include <path>`，則<path>爲您的子配置文件路徑） 2.找到`KeepAlive`將其設置爲 `KeepAlive On` 如沒有，請增加該項

阿里雲標準-Apache安

服務配置

確保禁用http跟蹤方法

TRACE方法不需要，並

中危

1.`vim path`（path爲主配置文件的絕對路徑，如果您的主配置文件中包含`include <path>`，則<path>爲您的子配置文件路徑） 2.找到選項`TraceEnable`將其值設置爲`off` 如沒有請增加

阿里雲標準-Apache安

入侵防範

確保超時設置正確

DoS的一種常用技術，

高危

1.使用vim編輯器對配置文件進行編輯  `vim path`(path爲apache配置文件路徑例`/usr/local/apache2/etc/httpd.conf`或`/etc/httpd/conf/httpd.conf`或查找include文件或自定義安裝請自行查找) 2.找到`Timeout`將其設置爲`Timeout 10 ` 如沒有，請增加

阿里雲標準-Apache安

入侵防範

確保MaxKeepAliveRequests設置爲適當

MaxKeepAliveRequest

高危

1.使用vim編輯器對配置文件進行編輯  `vim path` （path爲主配置文件的絕對路徑，如果您的主配置文件中包含`include <path>`，則<path>爲您的子配置文件路徑） 2.找到`MaxKeepAliveRequests`將其設置爲 ```MaxKeepAliveRequests 100``` 如沒有，請增加

阿里雲標準-Apache安

數據保密性

確保Web根目錄的選項受到限制 禁止 Ap

Web根目錄或文檔根目

中危

1.使用 `vim path` (`path爲主配置文件的絕對路徑，如果您的主配置文件中包含`include <path>`，則<path>爲您的子配置文件路徑) 2.找到`<Directory "apache網頁存放路徑">`(默認網頁存放路徑`/usr/local/apache2`或`/var/www/html`，自定義路徑請自行查找) ```<Directory "apache存放網頁路徑">``` `. . .` `Options Indexes FollowSymLinks` `. . .` ```</Directory>```  將其設置爲 `Options None` 如配置虛擬主機，請確保虛擬主機配置項中含有Options None 如沒有，請增加 ```<Directory "apache存放網頁路徑">``` `. . .` `Options None` `. . .` ```</Directory>```

阿里雲標準-Nginx安全

服務配置

針對Nginx SSL協議進行安全加固

Nginx SSL協議的加密

高危

Nginx SSL協議採用TLSv1.2： 1、打開`conf/nginx.cconf`配置文件； 2、配置 ``` server {                 ...               ssl_protocols TLSv1.2;                ...                      } ``` 備註：配置此項請確認nginx支持OpenSSL，運行`nginxv -V` 如果返回中包含`built with OpenSSL`則表示支持OpenSSL。如果不支持，請重新編譯nginx

阿里雲標準-Nginx安全

服務配置

Nginx後端服務指定的Header隱藏狀態

隱藏Nginx後端服務X-P

高危

隱藏Nginx後端服務指定Header的狀態： 1、打開`conf/nginx.conf`配置文件； 2、在`http`下配置`proxy_hide_header`項； 增加或修改爲 `proxy_hide_header X-Powered-By;` `proxy_hide_header Server;`

阿里雲標準-Nginx安全

身份鑑別

檢查是否配置Nginx賬號鎖定策略。

1.執行系統命令passwd

高危

配置Nginx賬號登錄鎖定策略： Nginx服務建議使用非root用戶(如nginx，nobody)啓動，並且確保啓動用戶的狀態爲鎖定狀態。可執行passwd -l <Nginx啓動用戶> 如`passwd -l nginx` 來鎖定Nginx服務的啓動用戶。命令 `passwd -S <用戶>`  如`passwd -S nginx`可查看用戶狀態。 修改配置文件中的nginx啓動用戶修改爲nginx或nobody 如： ```user nobody;```

弱密碼-Mysql數據庫登

身份鑑別

數據庫登陸弱密碼

若系統使用弱口令，存

高危

將弱密碼修改複雜密碼，應符合複雜性要求： ``` 1、長度8位以上 2、包含以下四類字符中的三類字符: 英文大寫字母(A 到 Z) 英文小寫字母(a 到 z) 10 個基本數字(0 到 9) 非字母字符(例如 !、$、#、%、@、^、&) 3、避免使用已公開的弱密碼，如：abcd.1234 、admin@123等 ``` 可使用 SET PASSWORD 命令把弱密碼修改爲強密碼  ``` 1、登陸數據庫  2、查看數據庫用戶密碼信息    mysql> SELECT user, host, authentication_string FROM user;    部分版本查詢命令爲：  mysql> SELECT user, host, password FROM user;   3、根據查詢結果及弱密碼告警信息修改具體用戶的密碼  mysql> SET PASSWORD FOR '用戶名'@'主機' = PASSWORD('新密碼');   ```

弱密碼-Redis數據庫登

身份鑑別

開啓redis密碼認證,並設置高複雜度密

redis在redis.conf配

高危

打開redis.conf，找到requirepass所在的地方，修改爲指定的密碼，密碼應符合複雜性要求： ``` 1、長度8位以上 2、包含以下四類字符中的三類字符: 英文大寫字母(A 到 Z) 英文小寫字母(a 到 z) 10 個基本數字(0 到 9) 非字母字符(例如 !、$、%、@、^、&等，#除外) 3、避免使用已公開的弱密碼，如：abcd.1234 、admin@123等 ``` 再去掉前面的#號註釋符，然後重啓redis