检查是否限制密码重复使用强制用户不要重复使用最近使用过的密码,降低密码猜测攻击的风险。建议在/etc/pam.d/password-auth和/etc/pam.d/system-auth中pam_unix.so行尾5-24之间配置remember参数。原有内容无需改动。只需在末尾添加remember=5即可。确保SSHLogLevel设置为INFO确保SSHLogLevel设置为INFO以记录登录和注销活动。加固建议编辑/etc/ssh/sshd_config文件设置参数如下(取消注释):LogLevelINFO设置SSH空闲超时退出时间设置SSH空闲超时退出时间可以降低未授权用户访问其他用户ssh会话的风险。加固建议编辑/etc/ssh/sshd_config,设置ClientAliveInterval为300~900,即5-15分钟,ClientAliveCountMax设置为0-3。ClientAliveInterval600ClientAliveCountMax2SSHD强制使用V2安全协议SSHD强制使用V2安全协议。加固建议编辑/etc/ssh/sshd_config文件以如下设置参数:Protocol2确保SSHMaxAuthTries设置在3和6之间。设置较低的MaxAuthTrimes参数将降低对SSH服务器成功进行暴力攻击的风险。为了加固,建议取消/etc/ssh/sshd_config中的MaxAuthTries注释符号#,设置最大密码尝试失败次数为3-6,推荐值为4:MaxAuthTries4设置修改密码的最小间隔时间,设置修改密码的最小间隔时间,限制修改密码过于频繁。对于加固,建议将/etc/login.defs中的PASS_MIN_DAYS参数设置为7到14之间。建议值为7:PASS_MIN_DAYS7需要同时执行,为root用户设置:chage--mindays7root设置密码过期时间设置密码过期时间,强制定期修改密码,减少密码泄露和被猜中的风险。如果您使用非密码登录方式(如密钥对),请忽略此项。推荐使用密钥对等非密码登录方式进行加固,请忽略此项。在/etc/login.defs中,设置PASS_MAX_DAYS参数在60-180之间,如:PASS_MAX_DAYS90需要同时执行命令设置root密码过期时间:chage--maxdays90root密码复杂度检查Check密码长度和密码是否使用各种字符类型。加固建议编辑/etc/security/pwquality.conf,设置minlen(最小密码长度)为9-32个字符,设置minclass(至少4种字符,包括小写字母、大写字母、数字、和特殊字符)到中等3或4类)到3或4。例如:minlen=10minclass=3确保root是唯一具有UID0的帐户。应该删除除root之外的UID为0的用户或分配一个新的UID。建议删除除root以外所有UID为0的用户,或者分配一个新的UID。查看命令:cat/etc/passwd|awk-F:'($3==0){print$1}'|grep-v'^root$'启用地址空间布局随机化,将进程的内存空间地址随机化,增加入侵者预测的难度目标地址,从而降低进程被成功入侵的风险。加固建议执行命令:sysctl-wkernel.randomize_va_space=2设置用户权限配置文件的权限设置用户权限配置文件的权限。建议chownroot执行以下5条命令:root/etc/passwd/etc/shadow/etc/group/etc/gshadowchmod0644/etc/groupchmod0644/etc/passwdchmod0400/etc/shadowchmod0400/etc/gshadow访问控制配置文件权限设置访问控制配置文件权限设置。加固建议执行以下四个命令:chownroot:root/etc/hosts.allowchownroot:root/etc/hosts.denychmod644/etc/hosts.denychmod644/etc/hosts.allow确保rsyslog服务已启用确保rsyslog服务已启用并且日志记录用于审计。加固时,建议运行以下命令开启rsyslog服务:systemctlenablersyslogsystemctlstartrsyslog确保密码过期警告天数为7天或以上确保密码过期警告天数为7天或以上。对于加固,建议将/etc/login.defs中的PASS_WARN_AGE参数设置为7~14之间,推荐值为7:PASS_WARN_AGE7同时执行命令使root用户设置生效:chage--warndays7root禁止SSH空密码用户登录,禁止SSH用户空密码登录。加固建议编辑文件/etc/ssh/sshd_config,配置PermitEmptyPasswords为no:PermitEmptyPasswordsno检查系统空密码账户,检查系统空密码账户。为了加固,建议给用户设置一个非空的密码,或者执行命令锁定用户passwd-l
