- 1推荐一款强大的Swift网络编程库:SwiftSocket
- 2深入解析NLP情感分析技术:从篇章到属性_情感分析模型
- 3数据结构笔记3 队列(队列的顺序存储、链式存储)_队列顺序存储结构笔记
- 4mysql存储过程_10-18 查询图书表中售价介于50元到70元之间的图书的全部信息
- 5蓝桥杯单片机的几个模块
- 6springcloud 微服务 之 Eureka 配置_eureka配置3份yml怎么分别启动
- 7如何实现单点登录_从门户网站跳转到后台登录系统,单点登录‘
- 8VUE框架解析Vue3使用Proxy代理实现响应式的底层原理------VUE框架_vue3proxy使用的什么方法
- 9很多人在Google Play商店购买或下载APP时出现问题,例如在你新安装的系统恢复APP或想要安装心愿单中的APP时,Play商店出现不能加载等错误,这实在是太烦人了。 所以,我通过搜索,把可_gooleone备份无法加载
- 10注册中心--Eureka、Zookeeper、Nacos、Consul--选型/区别_java服务注册中心zookeeper,euraka,nacos
centos7公网系统安全策略防攻击配置集合(持续更新)_centos tmout默认值
赞
踩
正文
设置密码尝试失败次数锁定
编辑/etc/pam.d/password-auth 和/etc/pam.d/system-auth 文件,以符合本地站点策略:建议严格按照顺序插入,修改之前记得备份。
auth required pam_faillock.so preauth audit silent deny=5 unlock_time=900
auth [success=1 default=bad] pam_unix.so
auth [default=die] pam_faillock.so authfail audit deny=5 unlock_time=900
auth sufficient pam_faillock.so authsucc audit deny=5 unlock_time=900
- 1
- 2
- 3
- 4
确保默认用户shell超时为900秒或更短
默认值TMOUT确定用户的shell超时时间。TMOUT值以秒为单位。编辑/etc/bashrc和/etc/profile文件(以及系统上支持的任何其他Shell的适当文件),并添加或编辑任何umask参数,如下所示:
TMOUT=600
- 1
确保已禁用SSH空密码登录
PermitEmptyPasswords参数指定SSH服务器是否允许登录具有空密码字符串的帐户。编辑/etc/ssh/sshd_config文件以设置参数,如下所示:
PermitEmptyPasswords no
- 1
确保默认用户umask限制为027或更高
umask默认值确定用户创建的文件的权限。创建文件的用户可以通过chmod命令自行决定使其他人可以读取其文件和目录。编辑/etc/bashrc,/etc/profile和/etc/profile.d/*.sh文件(以及系统上支持的任何其他Shell的适当文件),并添加或编辑umask参数,如下所示:
umask 027
备注(修复完后运行以下命令以确保是否已完全修复)
grep -H "umask" /etc/bashrc
grep -H "umask" /etc/profile
grep -H "umask" /etc/profile.d/*.sh
如果umask配置不为027的,需全部修改为027或更严格
- 1
- 2
- 3
- 4
- 5
- 6
- 7
确保SSH MaxAuthTries设置为4或更低
MaxAuthTries参数指定每个连接允许的最大身份验证尝试次数。登录失败次数达到设置参数一半时,错误消息将写入syslog文件,详细说明登录失败。编辑/etc/ssh/sshd_config文件以设置参数,如下所示:
MaxAuthTries 4
# 修改完成后重启sshd生效
systemctl restart sshd
- 1
- 2
- 3
- 4
确保已配置SSH空闲超时间隔
这两个选项ClientAliveInterval和ClientAliveCountMax控制SSH会话超时。当ClientAliveInterval变量被设置,对指定的时间长度没有活动的SSH会话被终止。当ClientAliveCountMax变量被设置,sshd将在每一个客户端发送活动消息ClientAliveInterval的时间间隔。当连续发送的客户端活动消息数没有客户端响应时,ssh会话将终止。编辑/etc/ssh/sshd_config文件以设置参数:
ClientAliveInterval 300
ClientAliveCountMax 0
- 1
- 2
确保不接受secure ICMP重定向
secure ICMP重定向与ICMP重定向相同,只是它们来自默认网关列表上列出的网关。在/etc/sysctl.conf或/etc/sysctl.d/*文件中设置以下参数:
net.ipv4.conf.all.secure_redirects = 0
net.ipv4.conf.default.secure_redirects = 0
运行以下命令来设置活动的内核参数:
# sysctl -w net.ipv4.conf.all.secure_redirects=0
# sysctl -w net.ipv4.conf.default.secure_redirects=0
# sysctl -w net.ipv4.route.flush=1
- 1
- 2
- 3
- 4
- 5
- 6
确保禁用RDS
RDS协议是一种传输层协议,旨在提供群集节点之间的低延迟,高带宽通信。它是由Oracle Corporation开发的。编辑或创建文件/etc/modprobe.d/CIS.conf并添加以下行:
install rds /bin/true
- 1
确保SSH协议设置为2
SSH支持两种不同且不兼容的协议:SSH1和SSH2。 SSH1是原始协议,受安全问题的影响。 SSH2更先进,更安全。编辑/etc/ssh/sshd_config文件以设置参数,如下所示:
Protocol 2
- 1
确保已配置密码创建要求
编辑/etc/pam.d/password-auth和/etc/pam.d/system-auth文件,以符合站点策略:
password requisite pam_pwquality.so try_first_pass retry=3
- 1
编辑/etc/security/pwquality.conf以添加或更新以下设置以符合站点策略:
minlen = 14
dcredit = -1
ucredit = -1
ocredit = -1
lcredit = -1
- 1
- 2
- 3
- 4
- 5
配置禁用密码登录,使用ssl证书
# 生成证书,建议添加密码,出现在/root/~/.ssh目录下 ssh-keygen -t rsa # 导入公钥 cat ~/.ssh/id_rsa.pub >> ~/.ssh/authorized_keys # 设置权限 chown -R 0700 ~/.ssh chown -R 0644 ~/.ssh/authorized_keys chown -R ifshow:ifshow /home/ifshow # 设置策略 vi /etc/ssh/sshd_config RSAAuthentication yes StrictModes no PubkeyAuthentication yes AuthorizedKeysFile .ssh/authorized_keys # 重启服务 systemctl restart sshd # 将id_rsa复制到远程连接的客户端电脑 # 配置通过证书ssh连接 # 连接成功后继续去服务器修改策略 vi /etc/ssh/sshd_config PasswordAuthentication no # 关闭通过密码登录 # 重启服务 systemctl restart sshd # 完成
- 1
- 2
- 3
- 4
- 5
- 6
- 7
- 8
- 9
- 10
- 11
- 12
- 13
- 14
- 15
- 16
- 17
- 18
- 19
- 20
- 21
- 22
- 23
- 24
- 25
- 26
- 27
- 28
- 29
- 30
- 31
- 32
- 33
