这些 Linux 常见安全基线配置,前期就应该做好!
今天汇总一些常用的安全基线配置,用于加强企业主机安全防护
下面这份清单,可以说是主机安全加固的“基础必修课”。无论团队规模大小,把这些配置做到位,安全防护的大门就算守住了第一道。咱们一项项看。
免费影视、动漫、音乐、游戏、小说资源长期稳定更新! 👉 点此立即查看 👈
1. root账户远程登录限制
这几乎是所有安全规范的第一条。直接允许root远程登录,相当于把最高权限的钥匙挂在门外。落实这一步,前提是系统里至少得有一个能正常登录的普通用户账号。
vi /etc/ssh/sshd_config
将PermitRootLogin yes改为PermitRootLogin no
systemctl restart sshd
2. 设置口令生存周期
永远不换的密码,风险是持续累积的。通常要求用户口令的最大有效期不能超过90天,同时也要避免更换过于频繁。
# 修改前备份
cp /etc/login.defs /etc/login.defs.bak
# 修改配置
vim /etc/login.defs
# 修改下面的内容
PASS_MAX_DAYS 90 # 密码最大过期时间,不大于90则合规
PASS_MIN_DAYS 7 # 口令更改最小间隔天数应大于等于7
PASS_WARN_AGE 7 # 口令过期警告提前天数
3. 设置密码复杂度策略
弱密码是攻击者最爱的突破口。一个健壮的密码策略,通常要求包含数字、大小写字母,且长度在八位以上。
# 修改前备份
cp /etc/pam.d/system-auth /etc/pam.d/system-auth.bak
# 修改配置
vim /etc/pam.d/system-auth
# 没有则新增
password requisite pam_cracklib.so try_first_pass retry=3 minlen=8 dcredit=-1 ucredit=-1 ocredit=-1 lcredit=-1
# 配置参数说明:
retry=3 # 在返回失败前允许3次尝试。
minlen=8 # 密码必须是8个字符或更多
dcredit=-1 # 提供至少1位数字
ucredit=-1 # 提供至少一个大写字符
ocredit=-1 # 提供至少一个特殊字符
lcredit=-1 # 提供至少一个小写字符
4. 配置账户认证失败次数限制
防止暴力破解的关键一步。连续多次尝试失败后,账户应该被暂时锁定。
vim /etc/pam.d/system-auth
# 增加如下内容:输入错误5次,锁定180s
auth required pam_tally2.so deny=5 notallow=fail no_magic_root unlock_time=180
account required pam_tally2.so
5. 禁止wheel组之外的用户su为root
特权切换必须严格受控。只允许特定的管理组成员(如wheel组)才能切换至root用户,这是最小权限原则的直接体现。
# 修改前备份
cp /etc/pam.d/su /etc/pam.d/su_bak
vim /etc/pam.d/su
# 添加
auth sufficient pam_rootok.so
auth required pam_wheel.so use_uid
# 将允许su的用户加入wheel组
usermod -G wheel $username
6. 历史命令设置
Shell历史记录可能泄露敏感操作信息。限制其保存数量并加上时间戳,既能满足基础审计需求,又能降低信息泄露风险。
vim /etc/profile
# 修改下面配置,没有则新增
# 设置历史命令时间戳
export HISTTIMEFORMAT="%F %T "
# HISTFILESIZE=5
HISTSIZE=50 # 保留历史命令条数,默认是1000条
7. 重要文件权限配置
系统关键文件的权限必须收紧。比如存放密码哈希的影子文件,就应该严格限制访问。
chmod 644 /etc/passwd
chmod 644 /etc/group
chmod 400 /etc/shadow
chmod 400 /etc/gshadow
8. 日志审计
安全事件事后追溯离不开日志。确保系统日志服务正常启用并运行,是所有安全工作的基础。
systemctl enable rsyslog
systemctl start rsyslog
结语
安全基线的配置项远不止这些,不同的等保级别要求也各有侧重。以上列举的,都是经过实践检验的常用核心配置。在企业实际环境中,尤其是需要过二级或三级等保的系统,还必须依据安全部门提供的详细基线文档进行逐项核查与配置。关于更全面、更细致的基线参考文档,已经整理归档,有兴趣的朋友可以进一步深入查阅。安全工作,始于基线,但绝不止于基线。
相关攻略
它用起来挺“懂事” 下载文件时,是不是总忍不住反复切到任务管理器,就为了看一眼那慢吞吞的进度?Windows功能虽多,但这个最该一目了然的信息,却一直藏得挺深。最近发现一个叫NetSpeedTray的开源小工具,正好补上了这块空白。安装之后,上行和下行的网速数字就直接显示在任务栏右下角,实时跳动。眼
什么是Orion-visor? 运维工作有多繁琐?面对成百上千的服务器和资产,效率低下几乎是每个团队的痛点。现在,一款名为Orion-visor的现代化工具,正致力于改变这一局面。它集自动化运维与轻量堡垒机于一身,设计初衷就直指效率提升。 无论是资产的分组管理、SSH SFTP终端操作,还是文件的上
实战:重写URL前缀路径 在微服务落地和API网关部署过程中,一个绕不开的经典场景就是路径适配。你肯定遇到过:前端或是客户端发出的请求是一个路径,但后端服务实际监听的却是另一个。比如,客户端发起的是` api v1 users`的请求,而后端只有` users`这个接口在等着。这种前后端路径不匹配,
什么是带进度条的 CP MV 本质上,这可以理解为一个系统原生工具的“增强补丁”。它通过对内核的复制(cp)和移动(mv)命令进行源码级的修改和重新编译,赋予了它们实时反馈进度的能力。安装完成后,你会得到两个新命令:cpg和mvg。使用时,只需加上一个简单的-g参数,原本“沉默不语”的终端窗口里,就
AirBattery是什么 日常使用苹果设备时,你是否也遇到过这样的场景:正在埋头工作,忽然想起忘了给iPhone充电,于是需要解锁、点亮屏幕才能看到剩余电量;或者想戴着AirPods出门前,总得打开充电盒盖确认一眼——这些看似微小的操作,叠加起来其实挺打断注意力的。一个真正高效的解决方案,应该是让
热门专题
热门推荐
断风磐阵营深度解析:裂谷文明起源、角色强度与实战配队指南 在开放世界游戏《蓝色星原旅谣》中,断风磐阵营以其独特的裂谷文明与翼人文化,成为玩家探索旅程中不可或缺的战略板块。本攻略将为你全面剖析断风磐的历史渊源、社会结构、核心角色技能机制,并提供高效的实战配队思路,助你最大化利用该阵营的战斗力,在主线推
为什么 Mutuum Finance 预售新闻的关键在于时机 为什么销售进展更新,有时比一个巨额融资数字更值得玩味?看看Mutuum Finance最新的动态,或许答案就在于“时机”二字。该项目在4月8日于X平台发布消息,宣布融资额已突破2100万美元,并紧接着预告了一项新的协议功能将于下周发布。在
Video Studio:AI驱动,一键将文本图片转化为专业级视频的在线神器 如今,内容创作领域竞争激烈,视频制作的效率直接关系到创意的实现与传播效果。你是否曾想过,能否跳过复杂的剪辑与合成步骤,让脑海中的构思直接生成一段高质量视频?这正是众多内容创作者、营销人员面临的普遍需求与挑战。 随着人工智能
荣耀 MagicBook 数字系列新品发布会定档 4 月 16 日,性能与续航迎来双重突破 4 月 7 日,荣耀官方正式发布消息,确认将于 4 月 16 日举办荣耀 MagicBook 数字系列新品发布会。届时,备受期待的 MagicBook 14 与 MagicBook 16 将同步亮相。官方将此
《女神异闻录1&2》或将迎来重制?全新周边命名引发玩家热议 近日,Atlus正式宣布推出以《女神异闻录1》及《女神异闻录2》(含《罪》与《罚》两部)为主题的全新周边系列。然而,官方发布的一则宣传信息却在玩家社群中引发了广泛讨论与猜测。 事件的起因是Atlus West在社交媒体上发布公告称:“《女神