35.确保sudo日志文件存在 sudo可以使用自定义日志文件 编辑文件/etc/sudoers或/etc/sudoers.d/中的文件并添加以下行: Defaults logfile="<PATH TO CUSTOM LOG FILE>" **例 Defaults logfile="/var/log/sudo.log"
36.确保已配置rsyslog默认文件权限 rsyslog将创建系统上尚不存在的日志文件。此设置控制将什么权限应用于这些新创建的文件。 编辑/etc/rsyslog.conf文件,并将其$FileCreateMode 设置为0640 或更严格: $FileCreateMode 0640
37.确保sudo命令使用pty sudo可以配置为仅从psuedo-pty运行psuedo-pty 编辑文件/etc/sudoers或/etc/sudoers.d/中的文件并添加以下行: Defaults use_pty
38.确保在/dev/shm分区上设置了noexec选项 noexec挂载选项指定文件系统不能包含可执行二进制文件。 编辑/etc/fstab文件,然后添加noexec到/dev/shm 分区的第四个字段 tmpfs ? ? ? ? ? ? ? ? ? /dev/shm ? ? ? ? ? ? ? ?tmpfs ? noexec ? ? ? ?0 0 运行以下命令重新挂载/dev/shm: # mount -o remount,noexec /dev/shm
39.确保已配置/tmp /tmp目录是一个全局可写的目录,用于所有用户和某些应用程序的临时存储 对/etc/fstab进行适当的配置。 例如: tmpfs /tmp tmpfs defaults,rw,nosuid,nodev,noexec,relatime 0 0
mount -a 或者 运行以下命令以启用 /tmp 挂载: # systemctl unmask tmp.mount # systemctl enable tmp.mount
40.设置口令过期后账号仍能保持有效的最大天数。
编辑/etc/default/useradd文件,配置:
INACTIVE=365
|