# CentOS Linux 7安全基线检查
## 基本信息
风险分类:系统基线-CentOS Linux 7安全基线检查
检测项说明:
CentOS Linux 7基线检查,对标阿里云和CIS标准
## 风险详情
>检查项目 : 设置密码失效时间
加固建议: 在 `/etc/login.defs` 中将 `PASS_MAX_DAYS` 参数设置为 `60-180` 之间,如 `PASS_MAX_DAYS 90`。需同时执行命令设置 `root` 密码失效时间: `$ chage --maxdays 90 root`。
>检查项目 : 设置密码修改最小间隔时间
加固建议: 在 `/etc/login.defs` 中将 `PASS_MIN_DAYS` 参数设置为 `5-14` 之间,建议为 `7`:
`PASS_MIN_DAYS 7` 需同时执行命令为 `root` 用户设置:
`$ chage --mindays 7 root
`
>检查项目 : 禁止 `SSH` 空密码用户登录
加固建议: 在 `/etc/ssh/sshd_config` 中取消 `PermitEmptyPasswords no` 注释符号 `#
`
>检查项目 : 确保 `SSH MaxAuthTries` 设置为 `3` 到 `6` 之间
加固建议: 在 `/etc/ssh/sshd_config` 中取消 `MaxAuthTries` 注释符号 `#`,设置最大密码尝试失败次数`3-6`,建议为`5`:`MaxAuthTries 5
`
>检查项目 : `SSHD` 强制使用 `V2` 安全协议
加固建议: 编辑 `/etc/ssh/sshd_config` 文件以按如下方式设置参数: `Protocol 2
`
>检查项目 : 设置 `SSH` 空闲超时退出时间
加固建议: 编辑 `/etc/ssh/sshd_config`,将 `ClientAliveInterval` 设置为 `300` 到 `900` ,即 `5-15`分钟,将`ClientAliveCountMax` 设置为 `0`
`ClientAliveInterval 300
`
`ClientAliveCountMax 0
`
>检查项目 : 确保 `SSH LogLevel` 设置为 `INFO
`
加固建议: 编辑 `/etc/ssh/sshd_config` 文件以按如下方式设置参数(取消注释):
`LogLevel INFO
`
>检查项目 : 设置用户权限配置文件的权限
加固建议: 执行以下5条命令
$ chown root:root /etc/passwd /etc/shadow /etc/group /etc/gshadow
$ chmod 0644 /etc/group
$ chmod 0644 /etc/passwd
$ chmod 0400 /etc/shadow
$ chmod 0400 /etc/gshadow
- centos
- 安装工具
- 安装nginx
- 安装PHP5
- 安装PHP7.0.1
- 安装PHP7.0.8
- 安装redis
- redis允许远程访问
- 安装php之redis扩展
- 安装mysql
- 配置nginx虚拟机绑定域名
- xdebug下载配置
- phpStorm远程调试配置
- 报错解决:安装PHP7解决问题方法
- 报错解决:xdebug-解决问题
- yum丢失的解决办法
- CentOS下安装JDK的四种方法
- workman
- 某服务器配置情况
- 安装PHP7.2.17
- 安装PHP7.1.27
- 安装MongoDB
- ubuntu
- mac
- window
- phpstrom+wamp+xdebug
- mysql
- MySql创建本地用户和远程用户 并赋予权限
- 自建主从复制-mycat
- 数据库优化
- 阿里云mysql主从复制
- 报错解决
- SQL分析
- group by
- Mysql定时备份数据脚本
- MySQL数据库远程连接开启方法
- 启动报错systemctl status
- 日志导出
- mysq进程
- mysql查询正在执行的进程
- 命令
- nginx
- 安装GIT
- access.log
- error.log分析
- 500 Internal Server Error错误
- 502解决方案
- 405 Not Allowed,nginx静态文件响应post请求
- Linux基本操作
- 创建用户
- chmod命令详细用法设置文件的权限
- chown命令
- chgrp命令:改变文件的群组
- Linux 设置定时任务crontab命令
- 其他问题
- Win10 Subsystem Linux : Ubuntu 的root密码
- 安全问题
- PHP安全设置
- redis
- 安装
- 安装2.8.17
- 问题
- 日志分析
- an upstream response is buffered to a temporary file
- too many open files
- worker_connections are not enough
- recv() failed
- 日志
- 系统日志
- apache访问日志与错误日志
- nginx访问日志与错误日志
- php错误日志
- php-fpm慢日志
- mysql慢日志
- 服务器优化
- php-fpm进程数优化
- 服务器安全
- RHSA-2018:2748: kernel security and bug fix update
- RHSA-2018:3408: git security update
- RHSA-2018:2570: bind security update
- RHSA-2018:3052: wget security and bug fix update
- RHSA-2018:3221: openssl security, bug fix, and enhancement update
- RHSA-2018:2384: kernel security and bug fix update
- RHSA-2018:3032: binutils security, bug fix, and enhancement update
- RHSA-2018:3157: curl and nss-pem security and bug fix update
- RHSA-2018:2285: yum-utils security update
- RHSA-2018:3092: glibc security, bug fix, and enhancement update
- CVE-2018-17182 on Ubuntu 14.04 LTS (trusty)
- CVE-2018-9415 on Ubuntu 14.04 LTS (trusty)
- CVE-2018-8043 on Ubuntu 14.04 LTS (trusty)
- CVE-2018-3620 on Ubuntu 14.04 LTS (trusty)
- CVE-2018-14634 on Ubuntu 14.04 LTS (trusty)
- CVE-2018-14609 on Ubuntu 14.04 LTS (trusty)
- CentOS Linux 7安全基线检查
- Redis安全基线检查
- RHSA-2019:1168-重要: 内核 安全更新
- RHSA-2019:1481-重要: 内核 安全更新
- RHSA-2019:0512-重要: 内核 安全和BUG修复更新
- ThinkPHP漏洞
- ThinkPHP 5.1.X <= 5.1.30 远程代码执行漏洞
- ThinkPHP 5 <=5.0.22 远程代码执行高危漏洞
- ThinkPHP <5.0.24 Request.php 远程代码执行漏洞
- PHP
- 怎样获取PHP各种版本
- 攻击
- SSH暴力破解
- RDP暴力破解
- SQLSERVER暴力破解
- MYSQL暴力破解
- FTP暴力破解
- SQL注入
- 代码执行
- XSS攻击
- 本地文件包含
- 远程文件包含
- 脚本木马
- 上传漏洞
- 路径遍历
- 越权访问
- CSRF
- CRLF
- 其他