名称 | 加固目的 | 系统当前状态 | 实施步骤 |
修改默认账户 | 修改默认账户、提高系统安全性 | cd / cat /etc/passwd | 步骤一: 创建普通用户 tanrt adduser tanrt passwd tanrt 步骤二: 赋予tanrt权限、并禁止root用户 vim /etc/passwd tanrt:x:0:1007::/home/tanrt:/bin/bash root:x:0:0:root:/root:/bin/nologin root属组用户查找 awk -F ":" '($3=="0"){print $1}' /etc/passwd |
| | | |
设置密码策略 | 密码必须满足复杂度要求 | ?cat /etc/pam.d/system-auth |grep pam_pwquality.so | 步骤一:进入编辑界面 vim /etc/pam.d/system-auth 步骤二:pam_pwquality.so 添加 try_first_pass local_users_only retry=3 authtok_type= minlen=8 lcredit=-1 ucredit=-1 ocredit=-1 enforce_for_root |
设置密码有效期 | 密码有效期90天、提高系统安全性 | cat /etc/login.defs | 步骤一 进入密码设置界面 vim /etc/login.defs 步骤二:修改如下字段 PASS_MAX_DAYS???90 PASS_MIN_DAYS???1 PASS_MIN_LEN????8 PASS_WARN_AGE???7 |
| 连续登录失败5次锁定账户10分钟 | cat /etc/pam.d/system-auth | auth required pam_tally2.so? onerr=fail? deny=3? unlock_time=40 even_deny_root root_unlock_time=30 |
超时退出设置 | 15分钟超时退出、提高系统安全性 | cat /etc/profile |grep TMOUT | 步骤一 进入编辑设置界面 vim /etc/profile export TMOUT=3600 |
登录失败锁定账户 | 连续登录失败5次锁定账户10分钟 | find ./ -name pam_tally2.so | auth??? required??? pam_tally2.so??? deny=3??? unlock_time=600 even_deny_root root_unlock_time=1200 auth required pam_tally2.so onerr=fail deny=5 unlock_time=300 even_deny_root root_unlock_time=300 vim /etc/pam.d/sshd |
禁止root直连 | 禁止使用root账户登录ssh连接,提高系统安全性 | cat /etc/ssh/sshd_config |grep PermitRootLogin | 步骤一:进入编辑界面 vim? /etc/ssh/sshd_config PermitRootLogin?no systemctl restart sshd |
修改远程登录端口 | 修改远程登录登录默认端口22 | cat /etc/ssh/sshd_config |grep Port | 步骤一:进入编辑界面 vim /etc/ssh/sshd_config Port?2200 systemctl restart sshd (防火墙,云控制台添加2200端口) |
空口令查询 | 禁止空口令登录系统 | ?awk -F ":" '($2==""){print $1}' /etc/shadow | ?步骤一: awk -F ":" '($2==""){print $1}' /etc/shadow 查看结果有就存在空口令 |
| | | |
添加日志审计规则 | 添加日志审计规则 | auditctl -l | 步骤一:进入编辑界面 ?vi /etc/audit/rules.d/audit.rules '-w /etc/group -p wa -k identity -w /etc/passwd -p wa -k identity -w /etc/gshadow -p wa -k identity -w /etc/shadow -p wa -k identity -w /etc/security/opasswd -p wa -k identity ####记录登录和登出事件 -w /var/log/lastlog -p wa -k logins -w /var/run/faillock/ -p wa -k logins service auditd restart |
| | | |
开启防火墙 | 开启防火墙 | firewall-cmd --state | 步骤一:查看防火墙状态 firewall-cmd --state 步骤二:开启防火墙 no running?未启用防火墙规则 service firewalld start service firewalld restart systemctl start firewalld.service systemctl restart firewalld.service |
查看业务端口 | 查看业务端口 | firewall-cmd --list-all | |
添加业务端口 | 添加业务特定端口 | firewall-cmd --list-all | 步骤一:添加业务端口 firewall-cmd --permanent --add-port=80/tcp 步骤二:重启防火墙 firewall-cmd --reload |
移除业务端口 | 移除业务端口 | firewall-cmd --list-all | 步骤一:移除 firewall-cmd --permanent --remove-port=8080/tcp 步骤二:重启防火墙 firewall-cmd --reload |
| | | |
添加日志审计员 | auditor | cat /etc/passwd | 步骤一:添加用户 adduser auditor passwd auditor 步骤二:修改配置 vi /etc/sudoers auditor ALL = (root) NOPASSWD: /usr/bin/cat , /usr/bin/less , /usr/bin/more , /usr/bin/tail , /usr/bin/head 步骤三:设置访问权限 chown -R auditor:auditor /var/log ? |
添加安全管理员 | securitor | cat /etc/passwd | 步骤一:添加securitor adduser -d /etc securitor 步骤二:添加属组指定/etc只允许审计管理员访问 chown -R securitor:securitor /etc 注意:创建文件夹所属权限的账户时候切换账户 提示 -bash-4.1$ 执行命令 cp -a /etc/skel/. /etc |
| | cat etc/firewalld/firewalld.conf | etc/firewalld/firewalld.conf文件将其中的”LogDenied=off”调整为”LogDenied=all“(off表示关闭不记录被拒绝日志,all表示记录所有被拒的日志) [root@localhost ~]# systemctl restart firewalld.service [root@localhost ~]# firewall-cmd --get-log-denied all ? |
禁ping | | 1可以ping 0禁止ping | echo "0" > /proc/sys/net/ipv4/icmp_echo_ignore_all |
| | | |
| | | |
| | | |
| | | 添加一个堵塞IP iptables -I INPUT -s 117.50.179.188 -j DROP 查看 iptables -L -n --line-number iptables -D INPUT number
firewall-cmd --permanent --add-rich-rule='rule family=ipv4 source address="117.50.179.188" drop'
firewall-cmd --list-all systemctl restart firewalld.service |
| | | |
| | | |
| | | |
| 异常IP | 源站 | |
| 117.161.29.198 | 117.161.29.197 | 添加 firewall-cmd --permanent --add-rich-rule='rule family=ipv4 source address="117.50.179.188" drop' 移除 firewall-cmd --permanent --remove-rich-rule='rule family=ipv4 source address="123.44.55.66" drop' 重启 firewall-cmd --reload |