“胖猴,某大型企业高级运维,马哥教育原创作者联盟成员,热爱分享Linux应用技术和原创知识,有30万字以上的原创内容。”

说明:本次文档是根据某厂的主机合规分析报告内容进行整改的,整改后评分达到90分,本次试验环境为Centos6.7。

    一、账号管理

    1.1密码锁定策略

pam_tally2和pam_faillock PAM 模块都可以允许系统管理员锁定在指定次数内登录尝试失败的用户账户。并在尝试指定次数是进行锁定,防止暴力破解。
检查方法:
查看/etc/pam.d/system-auth和/etc/pam.d/password-auth是否包含下面选项auth        required      pam_tally2.so  deny=3 onerr=fail no_magic_root unlock_time=180 even_deny_root root_unlock_time=10

修改方法:
修改/etc/pam.d/system-auth 文件和/etc/pam.d/password-auth 文件中的 auth

在指定的两个文件中的 account 区段中添加以下命令行:

说明:

/etc/pam.d/login中配置只在本地文本终端上做限制;
/etc/pam.d/kde在配置时在kde图形界面调用时限制;
/etc/pam.d/sshd中配置时在通过ssh连接时做限制;
/etc/pam.d/system-auth中配置凡是调用 system-auth 文件的服务,都会生效。

  • deny 指定最大认证错误次数,如果超出此次数,将执行后面的策略。如锁定N秒,如果后面没有其他策略指定时,默认永远锁定,除非手动解锁。

  • lock_time 锁定时长,按秒为单位;

  • unlock_time 指定认证被锁后,多长时间自动解锁用户;

  • magic_root 如果用户uid=0(即root账户或相当于root的帐户)在帐户认证时调用该模块发现失败时,不计入统计;

  • no_lock_time 不使用.fail_locktime项在/var/log/faillog 中记录用户 ---按英文直译不太明白,个人理解即不进行用户锁定;

  • even_deny_root root用户在认证出错时,一样被锁定(该功能慎用,搞不好就要单用户时解锁了)

  • root_unlock_time root用户在失败时,锁定多长时间。该选项一般是配合even_deny_root 一起使用的。

测试

可人工将计数器清零:

    1.2 密码生存期

密码生存期是另一个系统管理员用来保护在机构中防止不良密码的技术。密码有效期的意思就是在指定时段后(通常为 90 天),会提示用户创建新密码。它的理论基础是如果强制用户周期性修改其密码,那么破解的密码对与***者来说只在有限的时间内有用。密码有效期的负面影响是用户可能需要写下这些密码。

主要是修改下面三行的内容:

    1.3 密码复杂度

由于管理员给用户创建的密码暴露,所以管理员都是让用户自己修改密码,但还需要符合密码的强度,在这种场景下,管理员可能会强制用户定期更改密码,防止密码过期。
当用户需要更改密码时,为符合密码强度,可使用pam_cracklib.so 这个PAM模块来检测用户设置的密码是否符合要求。

将上面的这行修改为下面的内容:

    1.4 删除无关帐号

下面的系统自带的账号应该移除或锁定。这类用户的密码列不是用*或者!!开头的。

三类用户:

超级用户:拥有对系统的最高管理权限,缺省是root用户。

普通用户:只能对自己目录下的文件进行访问和修改,具有登录系统的权限。

虚拟用户:也叫“伪”用户,这类用户最大的特点是不能登录系统,它们的存在主要是方便系统管理,满足相应的系统进程对文件属主的要求。

如果上面的这些用户没有被删除或锁定,可选用如下的三种操作:
4.1直接将用户移除掉

4.2若不想将上述用户移除,也可将其进行锁定

4.3还可修改用户的shell为/bin/false

执行下面的指令将上述用户进行锁定:

    1.5 口令重复次数限制

对于采用静态口令认证技术的设备,应配置设备,使用户不能重复使用最近五次(含五次)内已使用的口令。

将上面的这行密码控制语句改为:

注意:NIS系统无法生效,非NIS系统或NIS+系统能够生效。

    1.6 禁止管理组之外的用户su为根用户

注意:auth同sufficient之间由两个tab建隔开,sufficient与动态库路径之间使用一个tab建隔开。

通常情况下,一般用户通过执行su -命令,输入正确的根用户密码,就能登录成为根用户。但是,为了更进一步加强安全性,有必要创建一个管理员组,只允许该组的用户来执行su -命令登录为根用户,而使得其他组的用户即使是执行了该指令、输入了正确的密码,也无法登录为根用户。这个组的名称通常为wheel。
按照上面的方法修改后,普通用户无法登录为根用户:

若希望该普通用户能够登录为根用户,需要将其加入到wheel组中:

    二、文件与目录权限

    2.1文件与目录缺省权限控制

首先要对操作的目标文件进行备份:

    2.2 配置用户最小授权

    2.3 设置关键文件的属性

使用命令查看messages文件是否只可追加不可修改:

a即append,设定该参数后,只能向文件中添加数据,而不能删除。
如果一个用户以root的权限登录或者某个进程以root的权限运行,会保证messages文件不会被篡改,保证系统的相对安全。

    三、日志安全

    3.1 记录安全事件日志

    3.2 日志文件安全

对权限>640的日志文件设定为640的权限。
检测方法:
使用以下命令查看日志文件权限

找到这些权限有问题的日志文件后,对其进行修改权限的操作:

    四、系统服务

    4.1 限制root用户SSH远程登录

检测方法:

修改方法:
编辑/etc/ssh/sshd_config修改以下两个选项

    4.2 登陆超时时间设置

检测方法:

修改方法:
如果/etc/profile中有下面的两行则按需要进行修改,没有这两行则写入这两行:

    4.3 清除潜在危险文件

要求系统中不能有这三个文件:.rhosts、.netrc、hosts.equiv。如果使用rlogin进行远程登录,就会需要这三个文件。通常情况下是没有这三个文件的,因而该远程登录方法很少使用了。、
检测方法:

修改方法:
需要删除.rhosts、.netrc、hosts.equiv
如无应用,删除以上文件
删除前需要备份
mv .rhosts .rhosts.bak
mv .netrc.netrc.bak
mv hosts.equiv hosts.equiv.bak
执行删除操作

    4.4 配置NFS服务限制

4.1检测方法:
4.1.1查看系统是否存在如下NFS守护进程:

4.1.2查看NFS服务状态:

4.1.3查看是否对NFS服务访问做限制:

4.2判断依据
4.2.1不存在与NFS有关的服务进程
4.2.2如果存在NFS守护进程,但/etc/hosts.allow设置了允许访问NFS的远程地址且/etc/hosts.deny设置了拒绝访问NFS的远程地址,二者满足其一即可。
4.3修改方案:
4.3.1杀掉如下NFS进程:rpc.lockd  rpc.nfsd rpc.statd rpc.mountd
4.3.2禁用NFS

4.3.4如需要NFS服务,设置限制能够访问NFS服务的IP范围
编辑/etc/hosts.allow增加一行:
nfs:允许访问的IP
编辑/etc/hosts.deny增加一行:
nfs:all

    五、网络安全

    5.1禁止IP源路由

源路由是一种互联网协议机制,可许可IP数据包携带地址列表的信息,以此分辨数据包沿途经过的路由器。通过某一路径时,会出现一可选项,记录为中间路径。所列出的中间路径,即路径记录,可提供返回至源路由路径上的目的地。这就允许源路由可指定某一路径,无论是严格的还是松散的,可忽略路径列表上的一些或全部路由器。它可允许用户恶意重定向网络流量。因而,应禁用源路由。

    5.2控制远程访问的IP地址

首先执行备份:

检查办法:
查看/etc/hosts.allow /etc/hosts.deny文件中是否设置IP范围限制
修改办法

    5.3禁止ICMP重定向

为何要关闭该功能,因为其会导致ICMP重定向***,即利用ICMP路由公告功能,***者使用该功能可改变***目标的路由配置(可造成主机的网络连接异常,被用于流量***等严重后果)。
检测方法:

修改办法:

    5.4对root为ls、rm设置别名

    5.5Update bash

确认bash的版本:

可直接使用Yum进行升级,但并不是最新的版本,若要升级到最新的版本,请进行编译安装升级。

转载于:https://blog.51cto.com/mageedu/1911963

如何让主机合规分析报告评分达到90分?相关推荐

  1. 极狐GitLab 15.3 | issues 中建任务、许可证合规分析,超 30 项更新全面来袭!

    沿袭我们月度发布的传统,今天带来了极狐GitLab 15.3 版本,新功能包括议题中的任务.免费的 GitOps 功能.SAML 群组链接的 API 维护.高级密码复杂度要求等. 这些只是该版本中 6 ...

  2. App 不想被“点名”,mPaaS 隐私合规检测为开发者护航数字生态建设

    简介:<个人信息保护法>的即将落地,无疑是近年来政策法规及监管标准不断细化深化.监管查处力度不断加大.处置通报常规化的又一里程碑式的具象体现,App 开发企业如若违规将会面临的各类损失也在 ...

  3. 2022-2028全球及中国监管技术(RegTech)行业研究及十四五规划分析报告

    [报告篇幅]:121 [报告图表数]:142 [报告出版时间]:2021年12月 报告摘要 2021年全球监管技术(RegTech)市场规模大约为190亿元(人民币),预计2028年将达到904亿元, ...

  4. EMAS隐私合规检测专项服务,从确保形式合规及实质合规规避风险

    一.App数据安全,主流商业模式下的新挑战 近年来随着信息技术快速发展,大数据时代已经来临.大数据为我们带来信息共享.便捷生活的同时,还存在着数据安全问题. 目前不少公司依托于推送等采集数据工具沉淀用 ...

  5. 阿里云EMAS|App隐私合规“免费”自动化检测

    为什么要进行App隐私合规检测 2021年11月1日<个人信息保护法>正式生效:今年6月14日,国家互联网信息办公室公布<移动互联网应用程序信息服务管理规定>,这是针对App的 ...

  6. 合规安全大考核:移动应用安全策略全盘点

    简介:移动应用涵盖用户大量个人数据,一旦发生泄漏可能对个人.社会造成重大影响,同时对移动应用产业长远的发展来说也是毁灭性打击.移动应用开发者,也应注意开发过程中的规范性.安全性,敬畏安全问题,防范合规 ...

  7. 银行管理--合规管理(基础概念)

    1.合规管理的相关概念 合规,是指使商业银行的经营活动与法律.法规和准则相一致. 合规风险,是指商业银行因没有遵循法律.规则和准则可能遭受法律制裁.监管处罚.重大财务损失和声誉损失的风险. 合规管理部 ...

  8. 工信部再治数据安全,网易易盾“隐私合规”守住企业经营底线

    工信部再治数据安全,网易易盾"隐私合规"守住企业经营底线 随着互联网技术的高速发展,"隐私保护薄弱"."数据安全漏洞"在我国引起重视,相关法 ...

  9. 对于上云的企业来说,做好安全合规究竟有多重要?

    通过上云实施数字化转型,以此驱动业务发展.流程改进.成本降低与效率提升,早已经成为了广大企业的共识.不过对于上云的企业来说,安全合规究竟有多重要? "云计算为业务赋能,安全为云计算赋能.&q ...

最新文章

  1. VS2008工具,两种加入库的方法。 设置程序运行时目录
  2. Maven3.2创建webapp项目过程中问题以及解决方案
  3. 多麦克风做拾音的波束_麦克风阵列是什么 有哪些关键技术?
  4. linux 查看java cpu_Linux查看CPU和内存使用情况
  5. c++ 结构体遍历_PBRT-E4.3-层次包围体(BVH)(一)
  6. 使用下面的方法有利于提高JS代码的执行效率
  7. 在博客园cnblogs的博客内容之中显示地图(测试中)
  8. Linux内核分析——第四周学习笔记
  9. 干货满满!!!盘点交互式甘特图控件VARCHART XGantt用户手册、视频教程!
  10. VoLTE Precondition资源预留
  11. jspsmartupload简述
  12. html特效文本框,各种html文本框input特效
  13. ckfinder的使用及了解config.xml的配置
  14. 《Java并发编程的艺术》读书笔记三
  15. 与公共云提供商进行谈判的3个技巧
  16. 苹果手机误删照片怎么恢复
  17. 广东2022年养老金计发基数为8682元,人们都能领这样多养老金吗
  18. 世界三大质量奖项介绍---波多里奇奖(转载)
  19. ElasticSearch 亿级数据检索深度优化
  20. VS2017安装qt插件失败(已解决)

热门文章

  1. Boost高性能网络编程
  2. 关于代码调用SSP获取UserProfile出错的解决方案
  3. 使用C#在应用程序间发送消息
  4. Xcode 项目忽略警告
  5. mysqlbinlog unknown variable:default-character-set=gbk
  6. vue-cli学习入门_byKL
  7. 数据库递归查询(CET)
  8. 探秘Win7计算器,这货不只是计算器
  9. 前端技术周刊 2019-02-11 Serverless
  10. linux的文件打包与压缩