Bootstrap

某动项目服务器安全扫描整改配置

某动项目安全配置(centos7.5)
1、远程日志配置

修改配置文件/etc/syslog.conf,增加如下配置:
. @@x.x.x.x:514
. @@x.x.x.x:514
重启服务:
systemctl restart rsyslog.service

2、修改口令生存周期要求

vim /etc/login.defs
PASS_MAX_DAYS 90
PASS_MIN_DAYS 0
PASS_MIN_LEN 8
PASS_WARN_AGE 8

3、检查口令重复次数

1、执行备份:#cp -p /etc/pam.d/system-auth /etc/pam.d/system-auth_bak
2、创建文件/etc/security/opasswd,
并设置权限:#touch /etc/security/opasswd
#chown root:root /etc/security/opasswd
#chmod 600 /etc/security/opasswd
2、修改策略设置: 修改/etc/pam.d/system-auth,增加pam_unix.so的参数(如果有就不用加),类似如下: password sufficient pam_unix.so md5 shadow nullok try_first_pass use_authtok remember=5
或:password sufficient /lib/security/$ISA/pam_unix.so nullok use_authtok md5 shadow remember=5
补充操作说明:/etc/pam.d/system-auth文件中存在 passwordxxxremember=值大于等于5

4、检查口令策略设置是否符合复杂度要求

以下使用pam_passwdqc模块限制:
password required pam_passwdqc.so min=disabled,12,8,6,5 max=40 passphrase=3 match=4 similar=deny random=42 enforce=everyone retry=3
password sufficient pam_unix.so nullok use_authtok md5 shadow use_first_pass
上述这些规则其本质就是:
不接受任何单种字符类的口令;
对两种字符混合的密码,强制口令最小长度是12 位;
对口令字强制最小长度是8位;
对3种字符混合的密 码强制最小长度是6位;
4种字符混合的密码强制最小长度是5位。
所谓4种字符混合 的密码就是由“数 字”,“小写字母”,“大 写字母”,以及“其它字 符”组成(其它字符就是类 似“!”、“_”这种)。另外,上述这些规则同时还强制任何口令长度不得超过40位。
/etc/pam.d/system-auth文 件中minclass大于等于2, minlen大于等于8

5、登录超时设置

1、执行备份:
#cp -p /etc/profile /etc/profile_bak
#cp -p /etc/csh.cshrc /etc/csh.cshrc_bak
2、在/etc/profile文件增加以下两行:
#vi /etc/profile
TMOUT=180
export TMOUT
3、修改/etc/csh.cshrc文件,添加如下行:
set autologout=30
改变这项设置后,重新登录才能有效
补充操作说明:/etc/profile 文件中TMOUT值小于等于600或者/etc/csh.cshrc文件中autologout小于等于600

6、限制root远程登录

1、新建一个普通用户并设置高强度密码:
#useradd username
#passwd username
2、禁止root用户远程登录系:
#vi /etc/securetty 注释形如pts/x的行,保存退出,则禁止了root从telnet登录。
#vi /etc/ssh/sshd_config
修改PermitRootLogin设置为no并不被注释,保存退出, 则禁止了root从ssh登录。
重启sshd: systemctl restart sshd
补充操作说明:以下为测试telnet登录结果:/etc/pam.d/login /etc/seruretty 结果注释掉 存在文件,存在PTS 能登录 注释掉 存在文件,不存在PTS 不能登录 注释掉 不存在文件能登录,不注释 不存在文件能登陆,不注释,存在文件,不存在 PTS 不能登录 不注释 存在文件,存在PTS 能登录 /etc/ssh/sshd_config文件 中PermitRootLogin值为no, 并且/etc/security/user下 值为pts

7、口令锁定策略

#vi /etc/pam.d/system-auth
增加auth required pam_tally2.so deny=6 onerr=fail unlock_time=120 到第二行。保存退出;
补充操作说明:使配置生效需重启服务器。root帐户不在锁定范围内。帐户被锁定后,可使用faillog -u -r或pam_tally --user --reset 解锁。
/etc/pam.d/system-auth文 件中存在deny的值小于等于6

8、用户缺省UMASK配置

修改umask设置:
#vi /etc/profile
#vi /etc/csh.login
#vi /etc/csh.cshrc
#vi /etc/bashrc
#vi /root/.bashrc
#vi /root/.cshrc
将umask值修改为027,保存退出。
补充操作说明:umask设置不当可能导致某些应用无法正确自动创建目录或文件,从而运行异常。 /etc/profile文件中umask值 大于等于027

9、帐号文件权限设置

修改文件权限:
#chmod 0644 /etc/passwd
#chmod 0400 /etc/shadow
#chmod 0644 /etc/group
补充操作说明:/etc/passwd 权限为644,/etc/shadow权 限为400,/etc/group权限为 644

;