阿里云教程–阿里云安骑士报CIS-Linux Centos7系统基线检测高危漏洞修复方案-
阿里云最新优惠活动

阿里云教程–阿里云安骑士报CIS-Linux Centos7系统基线检测高危漏洞修复方案

阿里云服务器优惠

漏洞名称:

CIS-Linux Centos7系统基线检测高危漏洞

简介:

按照CIS-Linux Centos7最新基线标准进行系统层面基线检测

修复方案:

  • 基线项:禁止转发ICMP重定向报文建议:执行sysctl -w net.ipv4.conf.all.send_redirects=0,再查看/etc/sysctl.conf中是否存在net.ipv4.conf.all.send_redirects=0,不存在则添加
  • 基线项:禁止转发ICMP重定向报文建议:执行sysctl -w net.ipv4.conf.default.send_redirects=0,再查看/etc/sysctl.conf中是否存在net.ipv4.conf.default.send_redirects=0,不存在则添加
  • 基线项:禁止包含源路由的ip包建议:执行sysctl -w net.ipv4.conf.all.accept_redirects=0,再查看/etc/sysctl.conf中是否存在net.ipv4.conf.all.accept_redirects=0,不存在则添加
  • 基线项:禁止包含源路由的ip包建议:执行sysctl -w net.ipv4.conf.default.accept_redirects=0,再查看/etc/sysctl.conf中是否存在net.ipv4.conf.default.accept_redirects=0,不存在则添加
  • 基线项:禁止转发安全ICMP重定向报文建议:执行sysctl -w net.ipv4.conf.all.secure_redirects=0,再查看/etc/sysctl.conf中是否存在net.ipv4.conf.all.secure_redirects=0,不存在则添加
  • 基线项:禁止转发安全ICMP重定向报文建议:执行sysctl -w net.ipv4.conf.default.secure_redirects=0,再查看/etc/sysctl.conf中是否存在net.ipv4.conf.default.secure_redirects=0,不存在则添加
  • 基线项:启用反转地址路径过滤建议:执行sysctl -w net.ipv4.conf.all.rp_filter=1,再查看/etc/sysctl.conf中是否存在net.ipv4.conf.all.rp_filter=1,不存在则添加
  • 基线项:启用反转地址路径过滤建议:执行sysctl -w net.ipv4.conf.default.rp_filter=1,再查看/etc/sysctl.conf中是否存在net.ipv4.conf.default.rp_filter=1,不存在则添加
  • 基线项:禁止ipv6路由广播建议:执行sysctl -w net.ipv6.conf.all.accept_ra=0,再查看/etc/sysctl.conf中是否存在net.ipv6.conf.all.accept_ra=0,不存在则添加
  • 基线项:禁止ipv6路由广播建议:执行sysctl -w net.ipv6.conf.default.accept_ra=0,再查看/etc/sysctl.conf中是否存在net.ipv6.conf.default.accept_ra=0,不存在则添加
  • 基线项:禁止ipv6路由重定向建议:执行sysctl -w net.ipv6.conf.all.accept_redirects=0,再查看/etc/sysctl.conf中是否存在net.ipv6.conf.all.accept_redirects=0,不存在则添加
  • 基线项:禁止ipv6路由重定向建议:执行sysctl -w net.ipv6.conf.default.accept_redirects=0,再查看/etc/sysctl.conf中是否存在net.ipv6.conf.default.accept_redirects=0,不存在则添加
  • 基线项:SSHD强制使用V2安全协议建议:在/etc/ssh/sshd_config中取消注释符号#
  • 基线项:SSHD仅记录ssh用户登录活动建议:在/etc/ssh/sshd_config中取消LogLevel INFO注释符号#
  • 基线项:SSHD仅记录ssh用户登录活动建议:在/etc/ssh/sshd_config中取消MaxAuthTries注释符号#,设置自定义最大密码尝试失败次数
  • 基线项:清理主机远程登录历史主机记录建议:在/etc/ssh/sshd_config中取消IgnoreRhosts yes注释符号#
  • 基线项:禁止主机认证登录建议:在/etc/ssh/sshd_config中取消HostbasedAuthentication no注释符号#
  • 基线项:禁止空密码用户登录建议:在/etc/ssh/sshd_config中取消PermitEmptyPasswords no注释符号#
  • 基线项:禁止用户修改环境变量建议:在/etc/ssh/sshd_config中取消PermitUserEnvironment no注释符号#
  • 基线项:设置输入密码间隔时间建议:在/etc/ssh/sshd_config中取消LoginGraceTime前注释符,同时设置输入密码时间间隔秒数
  • 基线项:设置用户密码最小长度建议:在/etc/security/pwquality.conf中取消minlen注释符号#,同时设置最小密码长度建议10位以上
  • 基线项:设置用户密码数字位数建议:在/etc/security/pwquality.conf中取消minlen注释符号#,同时设置为负数建议-1最少包含1位数字
  • 基线项:设置用户密码大写字母位数建议:在/etc/security/pwquality.conf中取消ucredit注释符号#,同时设置为负数建议-1最少包含1位大写字母
  • 基线项:设置用户密码小写字母位数建议:在/etc/security/pwquality.conf中取消lcredit注释符号#,同时设置为负数建议-1最少包含1位小写字母
  • 基线项:设置用户密码特殊字符位数建议:在/etc/security/pwquality.conf中取消ocredit注释符号#,同时设置为负数建议-1最少包含1位特殊字符
  • 基线项:新密码与老密码不能重复建议:在/etc/pam.d/password-auth中添加:password sufficient pam_unix.so remember=3这一行,remember的值表示此次设置密码与过去3次不同
  • 基线项:新密码与老密码不能重复建议:在/etc/pam.d/system-auth中添加:password sufficient pam_unix.so remember=3这一行,remember的值表示此次设置密码与过去3次不同
  • 基线项:检查空密码账户建议:使用如下命令设置有密码账户不活动最大时间值:useradd -D -f 90,建议值90
  • 基线项:rsyslog日志文件权限配置建议:在/etc/rsyslog.conf中添加:$FileCreateMode 0640
  • 基线项:强制密码失效时间建议:在/etc/login.defs 设置强制密码失效时间,建议值365
  • 基线项:密码修改最小间隔时间建议:在/etc/login.defs 设置密码修改最小间隔时间,建议值7
  • 基线项:设置有密码账户不活动最大时间建议:使用如下命令设置有密码账户不活动最大时间值:useradd -D -f 90,建议值90
  • 基线项:检查/boot/grub2/grub.cfg文件ACL属性建议:执行:chmod og-rwx /boot/grub2/grub.cfg
  • 基线项:检查/etc/crontab文件ACL属性建议:执行:chmod og-rwx /etc/crontab
  • 基线项:检查/etc/cron.hourly文件ACL属性建议:执行:chmod og-rwx /etc/cron.hourly
  • 基线项:检查/etc/cron.daily文件ACL属性建议:执行:chmod og-rwx /etc/cron.daily
  • 基线项:检查/etc/cron.weekly 文件ACL属性建议:执行:chmod og-rwx /etc/cron.weekly
  • 基线项:检查/etc/cron.monthly 文件ACL属性建议:执行:chmod og-rwx /etc/cron.monthly
  • 基线项:检查/etc/cron.d 文件ACL属性建议:执行:chmod og-rwx /etc/cron.d
赞(0)

评论 抢沙发

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址

买云服务器上,云就上阿里云!

顺丰快递单号查询Twitter下载
  • potplayer
  • directx