操作系统安全加固配置建议

操作系统基础安全配置建议

  • 账号口令类
    • 禁用root、administrator超管账号、注释不需要的用户和用户组
    • 不同类型账号需做好账号分离,应保证各账号权限最小化
    • 不允许存在空口令账号
    • 各类型账号采用不同强度的密码复杂度策略【基本策略需要>=8位、含有英文大小写+数字,三种类型混合】
      • 账号类型:应用账号、系统管理员账号、网站后台超级用户等
      • 比如系统管理员使用>=12位,同时包含英文大小写、数字、特殊符号,且不能连贯的、有含义的、容易被猜到的、网络上已经形成弱密码字典的
      • 应形成定期修改密码的策略
      • 组、账号、角色权限最小化
  • 提权类
    • su权限账号分类控制、并设定验证口令
    • sudo权限提升、并定设定校验当前用户密码
    • 设置默认umask值
  • 端口服务类
    • 关闭无用、不必要的服务
  • 远程连接类
    • 设置远程连接SSH协议版本
    • 限定远程连入得特定源IP地址
    • 设置登录超时时间、比如600秒后自动注销
    • 设置密码错误次数,设定暴力破解锁定账号配置
  • 日志类
    • 必须启用syslogd【具有一定规模时,应统一部署syslog服务器】
      • 记录所有用户登录、时间戳、注销、增删改查等操作日志
      • 日志应形成定期清理、备份的机制
      • 对日志模块占用系统资源必须有相应的限制机制
      • 禁止日志文件和操作系统存储在同一分区
  • 数据与存储
    • 禁止明文存储秘钥
    • 日志中禁止记录明文的敏感数据
  • 全局配置类
    • 关闭系统自动更新
    • 账号注销时自动清空历史命令记录
    • 配置安全引导密码控制,防止恶意重置root密码
    • 如启用vnc-server,则需设置vnc专用口令
posted @ 2021-02-04 16:32  名叫蛐蛐的喵  阅读(204)  评论(0编辑  收藏  举报