当前位置:首页 > 行业动态 > 正文

如何实施CentOS 7的安全基线检查策略?

CentOS7安全基线检查策略包括确保配置密码尝试失败的锁定、默认用户umask限制为027或更高、默认用户shell超时为900秒或更短等,以提升系统安全性。

CentOS7安全基线检查策略

如何实施CentOS 7的安全基线检查策略?  第1张

一、未通过项17项

序号 项目 处理建议(处理时请先做备份)
1 确保配置了密码尝试失败的锁定 编辑/etc/pam.d/password-auth和/etc/pam.d/system-auth文件,以符合本地站点策略:

auth required pam_faillock.so preauth audit silent deny=5 unlock_time=900

auth [success=1 default=bad] pam_unix.so

auth [default=die] pam_faillock.so authfail audit deny=5 unlock_time=900

auth sufficient pam_faillock.so authsucc audit deny=5 unlock_time=900

2 确保默认用户umask限制为027或更高 编辑/etc/bash.bashrc、/etc/profile和/etc/profile.d/*.sh文件(以及系统上支持的任何其他Shell的适当文件),并添加或编辑umask参数,如下所示:

umask 027

备注:修复完后运行以下命令以确保是否已完全修复

grep “umask” /etc/bashrc

grep “umask” /etc/profile

grep “umask” /etc/profile.d/*.sh

如果umask配置不为027的,需全部修改为027或更严格)

3 确保默认用户shell超时为900秒或更短 编辑/etc/bashrc和/etc/profile文件(以及系统上支持的任何其他Shell的适当文件),并添加或编辑任何umask参数,如下所示:

TMOUT=600

4 确保配置了bootloader配置的权限 运行以下命令来设置对grub配置的权限:

# chown root:root /boot/grub2/grub.cfg

# chmod og-rwx /boot/grub2/grub.cfg

# chown root:root /boot/grub2/user.cfg

# chmod

-rwx /boot/grub2/user.cfg |

| 5 | 确保设置了引导程序密码 | 使用以下命令创建加密的密码:<br/>grub2-setpassword<br/>Enter password: <password> <br/>Confirm password: <password> |

| 6 | 确保核心转储受到限制 | 将以下行添加到/etc/security/limits.conf或/etc/security/limits.d/*文件中:<br/>hard core 0<br/>在/etc/sysctl.conf或/etc/sysctl.d/*文件中设置以下参数<br/>fs.suid_dumpable = 0<br/>运行以下命令来设置活动内核参数:<br/># sysctl -w fs.suid_dumpable=0 |

| 7 | 确保启用了地址空间布局随机化(ASLR) | 在/etc/sysctl.conf或/etc/sysctl.d/*文件中设置以下参数:<br/>kernel.randomize_va_space = 2<br/>运行以下命令来设置内核参数:<br/># sysctl -w kernel.randomize_va_space=2 |

| 8 | 确保审核日志不会自动删除 | 在/etc/audit/auditd.conf中设置以下参数:<br/>max_log_file_action = keep_logs |

| 9 | 确保系统管理范围(sudoers)更改的收集 | 将以下行添加到/etc/audit/rules.d/audit.rules和/etc/audit/audit.rules文件中:<br/>-w /etc/sudoers -p wa -k scope<br/>-w /etc/sudoers.d/ -p wa -k scope<br/>重启auditd:service auditd restart |

| 10 | 确保收集了系统管理员操作(sudolog) | 将以下行添加到/etc/audit/rules.d/audit.rules和/etc/audit/audit.rules文件中:<br/>-w /var/log/sudo.log -p wa -k actions<br/>重启auditd:service auditd restart |

| 11 | 确保审核配置是不变的 | 将以下行添加到/etc/audit/rules.d/audit.rules和/etc/audit/audit.rules文件中:<br/>-e 2<br/>重启auditd:service auditd restart |

| 12 | 确保启用对在auditd之前启动的进程的审计 | 编辑/etc/default/grub并将audit = 1添加到GRUB_CMDLINE_LINUX:<br/>GRUB_CMDLINE_LINUX="audit=1"<br/>运行以下命令以更新grub2配置:<br/># grub2-mkconfig -o /boot/grub2/grub.cfg |

| 13 | 确保收集了修改用户/组信息的事件 | 将以下行添加到/etc/audit/rules.d/audit.rules和/etc/audit/audit.rules文件中:<br/>-w /etc/group -p wa -k identity<br/>-w /etc/passwd -p wa -k identity<br/>-w /etc/gshadow -p wa -k identity<br/>-w /etc/shadow -p wa -k identity<br/>-w /etc/security/opasswd -p wa -k identity |

| 14 | 确保收集了修改系统的强制访问控制的事件 | 将以下行添加到/etc/audit/rules.d/audit.rules和/etc/audit/audit.rules文件中:<br/>-w /etc/security/smaca -p wa -k mac_policy |

| 15 | 确保收集了登录和注销事件 | 将以下行添加到/etc/audit/rules.d/audit.rules和/etc/audit/audit.rules文件中:<br/>-w /var/log/wtmp -p wa -k logins<br/>-w /var/run/utmp -p wa -k session<br/>-w /var/log/btmp -p wa -k logins |

| 16 | 确保收集了会话启动信息 | 将以下行添加到/etc/audit/rules.d/audit.rules和/etc/audit/audit.rules文件中:<br/>-w /var/log/wtmp -p wa -k logins<br/>-w /var/run/utmp -p wa -k session<br/>-w /var/log/btmp -p wa -k logins |

| 17 | 确保在审核日志已满时禁用系统 | 该配置会在日志满后触发守护进程关闭系统(该配置有让系统关闭中断的风险,对于需要持续生产的环境不建议进行该项配置,对于日志记录及安全要求高的环境可进行该项配置)<br/>在 /etc/audit/auditd.conf中设置以下参数:<br/>admin_space_left_action = halt<br/>admin_space_left_action = poweroff<br/>admin_space_left_action = reboot<br/>admin_space_left_action = shutdown |

二、已通过项15项

序号 项目 处理建议(处理时请先做备份)
1 确保已配置SSH空闲超时间隔 编辑/etc/ssh/sshd_config文件以设置参数:

ClientAliveInterval 600 ClientAliveCountMax 2

2 确保SSH MaxAuthTries设置为4或更低 编辑/etc/ssh/sshd_config文件以设置参数,如下所示:

MaxAuthTries 4

3 确保已禁用SSH空密码登录 编辑/etc/ssh/sshd_config文件以设置参数,如下所示:

PermitEmptyPasswords no

4 确保单用户模式需要身份验证 编辑/etc/ssh/sshd_config文件以设置参数,如下所示:

PermitRootLogin without-password

5 确保已启用XD/NX支持 在32位系统上,安装具有PAE支持的内核,而在64位系统上则不需要安装:

如有必要,请配置您的引导程序以加载新内核并重新引导系统,您可能需要在BIOS中启用NX或XD支持,关于如何启用NX/XD支持详细指引请参考:

6 确保配置/etc/passwd的权限 运行以下命令以设置/etc/passwd的权限:

chown root:root /etc/passwd

chmod 644 /etc/passwd

7 确保配置/etc/shadow的权限 运行以下命令以设置/etc/shadow的权限:

chown root:root /etc/shadow

chmod 640 /etc/shadow

8 确保配置/etc/group的权限 运行以下命令以设置/etc/group的权限:

chown root:root /etc/group

chmod 644 /etc/group

9 确保配置/etc/gshadow的权限 运行以下命令以设置/etc/gshadow的权限:

chown root:root /etc/gshadow

chmod 440 /etc/gshadow

10 确保配置/etc/passwd-的权限 运行以下命令以设置/etc/passwd-的权限:

chown root:root /etc/passwd

chmod 644 /etc/passwd

11 确保配置/etc/shadow-的权限 运行以下命令以设置/etc/shadow-的权限:

chown root:root /etc/shadow

chmod 640 /etc/shadow

12 确保配置/etc/group-的权限 运行以下命令以设置/etc/group-的权限:

chown root:root /etc/group

chmod 644 /etc/group

13 确保配置/etc/gshadow-的权限 运行以下命令以设置/etc/gshadow-的权限:

chown root:root /etc/gshadow

chmod 440 /etc/gshadow

14 确保已配置审核日志存储大小 根据站点策略设置/etc/audit/auditd.conf参数:

max_log_file = 5 max_log_file_action = rotate

15 确保已启用auditd服务 运行以下命令以启用auditd:

systemctl enable auditd systemctl start auditd

三、常见问题FAQs

1.如何在CentOS7中更改用户的密码复杂性要求?

答:可以通过编辑/etc/security/pwquality.conf文件来更改密码复杂性要求,将minlen设置为10,将minclass设置为3,表示密码至少包含大写字母、小写字母和数字中的三类字符。

2.如何在CentOS7中启用地址空间布局随机化(ASLR)?

答:在/etc/sysctl.conf或/etc/sysctl.d/文件中设置kernel.randomize_va_space = 2,然后运行sysctl -w kernel.randomize_va_space=2命令来启用ASLR。

3.如何在CentOS7中确保审核日志不会自动删除?

答:在/etc/audit/auditd.conf中设置max_log_file_action = keep_logs,以确保审核日志不会自动删除。

四、小编有话说

在实施CentOS7的安全基线检查策略时,务必注意以下几点:

1、备份重要数据:在进行任何系统配置更改之前,务必备份重要数据和配置文件。

2、逐步实施:建议逐步实施安全基线检查策略,避免一次性大规模更改导致系统不稳定。

3、定期审查:定期审查和更新安全基线检查策略,确保系统始终处于最佳安全状态。

4、培训与意识:提高系统管理员和用户对安全基线检查策略的认识,确保他们了解并遵守相关规定。

0