如何让主机合规分析报告评分达到90分?
《如何让主机合规分析报告评分达到90分?》要点: 说明:本次文档是根据某厂的主机合规分析报告内容进行整改的,整改后评分达到90分,本次试验环境为Centos6.7. ????一、账号管理 ????1.1密码锁定策略 pam_tally2和pam_faillock?PAM 模块都可以允许系统管理员锁定在指定次数内登录尝试失败的用户账户.并在尝试指定次数是进行锁定,防止暴力破解. 修改方法: 在指定的两个文件中的 account 区段中添加以下命令行: 说明: /etc/pam.d/login中配置只在本地文本终端上做限制;
测试 可人工将计数器清零: ? ? 1.2 密码生存期 密码生存期是另一个系统管理员用来保护在机构中防止不良密码的技术.密码有效期的意思就是在指定时段后(通常为 90 天),会提示用户创建新密码.它的理论基础是如果强制用户周期性修改其密码,那么破解的密码对与入侵者来说只在有限的时间内有用.密码有效期的负面影响是用户可能需要写下这些密码. 主要是修改下面三行的内容: ????1.3 密码复杂度 由于管理员给用户创建的密码暴露,所以管理员都是让用户自己修改密码,但还需要符合密码的强度,在这种场景下,管理员可能会强制用户定期更改密码,防止密码过期. 将上面的这行修改为下面的内容: ????1.4 删除无关帐号 下面的系统自带的账号应该移除或锁定.这类用户的密码列不是用*或者!!开头的. 三类用户: 超级用户:拥有对系统的最高管理权限,缺省是root用户. 普通用户:只能对自己目录下的文件进行访问和修改,具有登录系统的权限. 虚拟用户:也叫“伪”用户,这类用户最大的特点是不能登录系统,它们的存在主要是方便系统管理,满足相应的系统进程对文件属主的要求. 如果上面的这些用户没有被删除或锁定,可选用如下的三种操作: 4.2若不想将上述用户移除,也可将其进行锁定 4.3还可修改用户的shell为/bin/false 执行下面的指令将上述用户进行锁定: ????1.5 口令重复次数限制 对于采用静态口令认证技术的设备,应配置设备,使用户不能重复使用最近五次(含五次)内已使用的口令. 将上面的这行密码控制语句改为: 注意:NIS系统无法生效,非NIS系统或NIS+系统能够生效. ????1.6 禁止管理组之外的用户su为根用户 注意:auth同sufficient之间由两个tab建隔开,sufficient与动态库路径之间使用一个tab建隔开. 通常情况下,一般用户通过执行su -命令,输入正确的根用户密码,就能登录成为根用户.但是,为了更进一步加强安全性,有必要创建一个管理员组,只允许该组的用户来执行su -命令登录为根用户,而使得其他组的用户即使是执行了该指令、输入了正确的密码,也无法登录为根用户.这个组的名称通常为wheel. 若希望该普通用户能够登录为根用户,需要将其加入到wheel组中: ????二、文件与目录权限 ????2.1文件与目录缺省权限控制 首先要对操作的目标文件进行备份: ????2.2 配置用户最小授权 ????2.3 设置关键文件的属性 使用命令查看messages文件是否只可追加不可修改: a即append,设定该参数后,只能向文件中添加数据,而不能删除. ????三、日志安全 ????3.1 记录安全事件日志 ????3.2 日志文件安全 对权限>640的日志文件设定为640的权限. 找到这些权限有问题的日志文件后,对其进行修改权限的操作: ????四、系统服务 ????4.1 限制root用户SSH远程登录 检测方法: 修改方法: ????4.2 登陆超时时间设置 检测方法: 修改方法: ????4.3 清除潜在危险文件 要求系统中不能有这三个文件:.rhosts、.netrc、hosts.equiv.如果使用rlogin进行远程登录,就会需要这三个文件.通常情况下是没有这三个文件的,因而该远程登录方法很少使用了.、 修改方法: ????4.4 配置NFS服务限制 4.1检测方法: 4.1.2查看NFS服务状态: 4.1.3查看是否对NFS服务访问做限制: 4.2判断依据 4.3修改方案: 4.3.4如需要NFS服务,设置限制能够访问NFS服务的IP范围 ????五、网络安全 ????5.1禁止IP源路由 源路由是一种互联网协议机制,可许可IP数据包携带地址列表的信息,以此分辨数据包沿途经过的路由器.通过某一路径时,会出现一可选项,记录为中间路径.所列出的中间路径,即路径记录,可提供返回至源路由路径上的目的地.这就允许源路由可指定某一路径,无论是严格的还是松散的,可忽略路径列表上的一些或全部路由器.它可允许用户恶意重定向网络流量.因而,应禁用源路由. ????5.2控制远程访问的IP地址 首先执行备份: 检查办法: ????5.3禁止ICMP重定向 为何要关闭该功能,因为其会导致ICMP重定向攻击,即利用ICMP路由公告功能,攻击者使用该功能可改变攻击目标的路由配置(可造成主机的网络连接异常,被用于流量攻击等严重后果). 修改办法: ????5.4对root为ls、rm设置别名 ????5.5Update bash 确认bash的版本: 可直接使用Yum进行升级,但并不是最新的版本,若要升级到最新的版本,请进行编译安装升级. 原文来自微信公众号:马哥Linux运维 (编辑:李大同) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |