Linux服务器安全配置基线

基线要求:

安全类别

检查项

检查要求

检查步骤

备注

账户及口令安全

1.1 检查是否设置口令生存周期

应配置口令生存周期,密码最长使用期限应小于等于90天,密码最短使用期限应非0。

执行:cat /etc/login.defs,检查是否配置了以下参数。
PASS_MAX_DAYS 配置项决定密码最长使用期限;
PASS_MIN_DAYS 配置项决定密码最短使用期限;
要求:PASS_MAX_DAYS为小于等于90。
           PASS_MIN_DAYS为非0。

针对程序帐号之类的不能完全使用上述策略的帐号口令应予以原因说明。

1.2 检查是否设置口令复杂度策略

最短密码长度8个字符,启用本机组策略中密码必须符合复杂性要求的策略。即密码至少包含以下四种类别的字符中的三种:
·英语大写字母 A, B, C, … Z
·英语小写字母 a, b, c, … z
·西方阿拉伯数字 0, 1, 2, … 9
·非字母数字字符,如标点符号,@, #, $, %, &, *等

1、执行:cat /etc/login.defs,检查是否配置了以下参数。
     PASS_MIN_LEN 配置项决定密码最小长度。
     要求:PASS_MIN_LEN为8。
2、执行:cat /etc/pam.d/system-auth,检查是否配置了以下参数。
password requisite pam_cracklib.so minlen=8 ucredit=-1 lcredit=-1 dcredit=-1 ocredit=-1
或者为pam_pwquality.so模块,最早之前使用的是 pam_cracklib.so ,后来改成 pam_pwquality.so 这个模块,但此模块完全兼容于 pam_cracklib.so
minlen 配置项决定了新密码最短长度。
ucredit 配置项限定了新密码中至少有多少个大写字符。
lcredit 配置项限定了新密码中至少有多少个小写字符。
dcredit 配置项限定了新密码中至少有多少个数字。
ocredit 配置项限定了新密码中至少有多少个其他字符。

针对程序帐号之类的不能完全使用上述策略的帐号口令应予以原因说明。

1.3 检查是否设置口令失效提示

应设置口令在失效前7天进行提示。

执行:cat /etc/login.defs,检查是否配置了以下参数。
PASS_WARN_AGE 配置项决定密码到期提醒时间。
要求:PASS_WARN_AGE为7。

针对程序帐号之类的不能完全使用上述策略的帐号口令应予以原因说明。

1.4 检查是否设置口令重复使用次数

不能复用近期使用过的5个密码

执行:cat /etc/pam.d/system-auth以及cat /etc/pam.d/passwd,检查是否配置了以下参数。
   password required pam_unix.so remember=5
   remember 指新密码不能和之前的5个密码相同。
要求:remember为5


 

1.5 检查是否存在空口令账号

应不存在空口令的账号。

执行:awk -F: '($2 == "") { print $1 }' /etc/shadow,检查是否有输出账号,若有输出则该账号为空口令账号。


 

1.6 检查除root账户以外是否存在uid为0的账户

uid为0的账户应只有root。

执行:awk -F: '($3 == 0) { print $1 }' /etc/passwd,检查是否输出条目是否只有root。


 

1.7 检查是否删除或锁定无用账户

应删除或锁定与设备运行、维护等工作无关的账号。需锁定daemon、bin、sys、nuucp、lpd、imnadm、ipsec、ldap、nobody、snapp、invscout、Adm、lp、sync、shutdown、halt、news、uucp、operator、games等系统默认账户

1、执行:cat /etc/shadow,检查无用账户。
2、执行:passwd -l username,锁定无用账户。
要求:锁定的用户为daemon、bin、sys、nuucp、lpd、imnadm、ipsec、ldap、nobody、snapp、invscout、Adm、lp、sync、shutdown、halt、news、uucp、operator、games等系统默认账户。
可通过passwd -S username查看用户状态。
3、执行:awk -F: '($2 == "*") { print $1 }' /etc/shadow,查看已锁定的账户。
4、执行:awk -F: '($2 == "!!") { print $1 }' /etc/shadow,查看密码已过期的账户,判断其是否需要删除。

若需系统默认账号登录系统,需管理员提供设置密码的原因。

1.8 检查是否有登录失败处理功能

应启用登录失败处理功能,在登录失败5次后,锁定账户10分钟,包括root账户。

1、执行:cat /etc/pam.d/system-auth以及cat /etc/pam.d/sshd,检查第一行是否配置了以下参数。
   auth required pam_tally2.so onerr=fail deny=5 unlock_time=600 even_deny_root root_unlock_time=600
deny  表示最大几次认证错误,如果超出此错误,将执行后面的策略。如锁定N秒,如果后面没有其他策略指定时,默认永远锁定,除非手动解锁。
onerr 表示出现异常时的处理。
unlock_time 表示认证被锁后,多长时间自动解锁用户。
even_deny_root 指root用户在认证出错时,一样被锁定。
root_unlock_time 指root用户在失败时,锁定多长时间。
要求:onerr 为fail
      deny 为5
      ulock_time 为600秒
      root_ulock_time 为600秒
2、执行 cat /etc/ssh/sshd_config,检查以下参数。
MaxAuthTries 决定进行SSH登录时的最大尝试次数。
要求:MaxAuthTries为5


 

1.9 检查是否禁用root用户远程ssh登录

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/610523.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

基于蚁群算法的TSP问题建模求解(Python)

基于蚁群算法的TSP问题建模求解 一、蚁群优化算法(Ant Colony Optimization,ACO)1.1 蚁群算法的起源——“双桥实验”1.2 蚁群优化算法思想1.3 蚁群算法应用于求解组合优化问题 二、基于蚁群算法的TSP问题建模求解2.1 旅行商问题(…

格式工厂怎么转换视频方向

格式工厂因为其免费、操作简单、功能齐全的多重优势,深受大家的喜欢。格式工厂具有可以转换视频、音频、去水印、转换GIF、图片转换、PDF合并、PDF转换等功能,然而在对视频进行剪辑的时候,往往会发现找不到格式工厂的转换视频方向的功能&…

Kibana错误【Kibana server is not ready yet】

docker部署kibana成功后,访问http://localhost:5601 ,页面返回“Kibana server is not ready yet” 运行 docker logs kibana 后提示 该错误提示为kibana的版本和es的版本不一致,将两个组件的版本更新一致即可 还有另外一种错误 在kibana的kibana.yml配…

AI老照片上色-DeOldify

🏡 个人主页:IT贫道-CSDN博客 🚩 私聊博主:私聊博主加WX好友,获取更多资料哦~ 🔔 博主个人B栈地址:豹哥教你学编程的个人空间-豹哥教你学编程个人主页-哔哩哔哩视频 目录 1. 老照片上色原理 2…

2024年江苏省职业院校技能大赛高职学生组软件测试—任务五接口测试题目

2024年江苏省职业院校技能大赛高职学生组软件测试任务五 接口测试 任务要求 题目1:登录接口脚本编写和执行测试。 1、登录接口描述如下: 接口功能:提供用户登录功能处理,根据传入的用户名和密码判断登录状态。 接口地址&…

windows10+ubuntu20.04双系统中,ubuntu系统显示home空间不足的扩容方法

实际上网上有两种扩容方法,除了本文的方法外,另一种是在使用启动U盘打开试用ubuntu,应该涉及到nvidia显卡驱动问题故未采用。另一种即本文。 最开始安装双系统时内存分配没有分配好,给ubuntu系统分配的空间较小,导致了后来的的问…

Multimodal Segmentation of Medical Images with Heavily Missing Data

F是mapping function 吐槽 图3太简单了吧。作者未提供代码

iOS14 Widget 小组件调研

桌面小组件是iOS14推出的一种新的桌面内容展现形式。 根据苹果的统计数据,“一般用户每天进入主屏幕的次数超过90次”,如果有一个我们应用的小组件在桌面,每天都有超过90次曝光在用户眼前的机会,这绝对是一个顶级的流量入口。 “…

Vue3+ts获取props的值并且定义props值的类型的方法。

1.引入withDefaults模块&#xff0c;给defineProps绑定默认值。 import { withDefaults } from vue2.定义Props传输值的类型。 interface Props {// 类型type: string;name: string;id: number; }3.给props的值设置默认值。 const props withDefaults(defineProps<Prop…

Go语言中使用工作区模式解决私有包不方便调试的问题

工作区模式 1 &#xff09;概述 导入内部开发包&#xff0c;之前有两种处理方式 一种是使用Go Modules的 replace 语句&#xff0c;将远程包替换成本地包的路径 这种注意&#xff0c;在开发完成之后还需将replace去掉再提交到仓库如果有多个这种内部包&#xff0c;这种操作还是…

Oracle之 第1篇 Oracle 11g 简介

目录 Oracle之 第1篇 Oracle 11g 简介 1.1 Oracle概述 1.2 Oracle 11g 系统的体系结构★ 1.1 Oracle物理结构 1.1物理结构--数据文件 1.1.2 物理结构---日志文件 1.1.3 物理结构---控制文件 1.2.4 配置文件 Oracle之 第1篇 Oracle 11g 简介 1.1 Oracle概述 常用…

无线与局域网技术期末划题自制答案

简答题 1.描述5G的三大应用场景&#xff1f; 5G的三大应用场景包括增强型移动宽带&#xff08;eMBB&#xff09;、超可靠低延迟通信&#xff08;URLLC&#xff09;和大规模机器类型通信&#xff08;mMTC&#xff09;。增强型移动宽带&#xff08;eMBB&#xff09;主要用于支持…

vue路由及参数router

目录 vue项目版本1、创建一个vue项目步骤 &#xff08;windows环境下&#xff09;。创建vue项目前&#xff0c;检查系统是否具备创建项目的条件&#xff08;是否已经安装好了node.js、webpack、vue-cli&#xff09;。cmd打开终端。三级目录 vue项目版本 1、创建一个vue项目步骤…

android自定义时间选择

自定义时间选择器&#xff0c;可以更改到年月日&#xff0c;时分秒 一、自定义DatePicker public class CustomDatePicker {/*** 定义结果回调接口*/public interface ResultHandler {void handle(String time);}public enum SCROLL_TYPE {HOUR(1),MINUTE(2);SCROLL_TYPE(int …

[情商-9] :聊天中的主动性问题

目录 前言&#xff1a; 一、性别差异对女生主动性的制约&#xff1f; 二、中国传统文化对女生主动性的制约&#xff1f; 三、男生如何在交往和聊天中发挥自己的主动性 四、交往中如何让心仪的女生提升她们的主动性 前言&#xff1a; 聊天中谁主动&#xff1f;如何让心仪的…

【Web】CTFSHOW命令执行刷题记录1

目录 web29 web30 web31 web32 web33 web34 web35 web36 web37-39 web40 web41 &#xff08;y4✌脚本&#xff09; web42 -44 web45 web46 -49 web50 web51 web52 web53 web54 期末复习不了一点&#xff0c;不如做点旧题醒一醒手感。每一题都尽量用不同payl…

@FunctionalSpringBootTest 和@SpringBootTest注解的区别

FunctionalSpringBootTest 和 SpringBootTest 是Spring框架中用于测试的两个不同注解。下面是它们之间的主要区别&#xff1a; 用途和范围&#xff1a; SpringBootTest&#xff1a;这个注解用于需要测试Spring应用程序上下文的场合。它会加载完整的应用程序上下文&#xff0c;适…

C#,C++实现:华为经典笔试题_菜单组合种类题目

题目&#xff1a; 菜单组合种类。为了科学饮食&#xff0c;控制每天摄入的卡路里数。最低值应不低于kcal_low, 最高值应不高于kcal_high。现在给出n个菜品的卡路里数&#xff0c;菜品可以重复选择。为满足总共摄入的卡路里数在规定的区间&#xff0c;可以有多少种菜品选择方式&…

插件和工具汇总

插件和工具汇总 【一】MyBatis Log插件【二】热部署【三】一些快捷键 【一】MyBatis Log插件 能够自动拼接参数生成执行的SQL语句&#xff0c;可以更清晰看到执行本次接口调用的所有sql执行条数。在我们执行myabtis的时候&#xff0c;有的时候报错知道哪里错了&#xff0c;但是…

亚马逊,速卖通,美客多卖家怎么才能安全及有效的积累产品的评论

测评补单对于亚马逊、速卖通等平台卖家来说&#xff0c;是一种重要的运营手段之一&#xff0c;通过测评补单快速增加产品的销量、评论数量&#xff0c;提升排名&#xff0c;从而打造爆款产品。 测评养号的好处包括&#xff1a; 1. 提升店铺信誉&#xff0c;制造爆款&#xff…