Linux
账号管理
1、检查密码错误过多 锁定设置

查看配置文件:more /etc/pam.d/password-auth,用户连续认证失败次数设置为5即合规,否则不合规

2、检查密码有效期 设置

查看文件:more /etc/login.defs,用户的密码最长使用天数不大于90,用户的密码到期提前提醒天数为7

3、检查密码复杂度 设置

查看文件:more /etc/security/pwquality.conf至少包含数字、小写字母、大写字母、特殊字符中的三项,且密码长度>=8

4、检查密码重用是否有限制

查看文件:cat /etc/pam.d/system-auth ,有remember参数且参数的值大于等于5即合规,否则不合规

5、检查是否存在除root之外UID为0的用户

6、检查是否存在空密码的帐户

服务管理
1、检查是否禁止SSH空密码用户登录

查看文件:more /etc/ssh/sshd_config的PermitEmptyPasswords配置情况,其值设置为no即合规,否则不合规

2、设置ssh多次登录失败后锁定用户

查看文件:more /etc/pam.d/sshd中,存在deny小于等于5,unlock_time大于等于300,否则不合规

3、限制root用户远程登录

查看文件:more /etc/ssh/sshd_config的PermitRootLogin值,如果值为no且该行没有被注释即合规,否则不合规

4、检查ssh使用的端口

查看文件:more /etc/ssh/sshd_config的Port参数,值不是默认值(22)且该行没有被注释即合规,否则不合规

5、设置登录超时自动注销

查看文件:more /etc/profile 的export TMOUT参数值,其值小于等于180即合规,否则不合规

权限管理
umask值:当前用户默认值需要减掉的权限

文件夹默认:777

文件默认:666
Snipaste_2022-12-02_18-34-33.png
1、检查用户umask值

查看文件:more /etc/profile的umask值,文件末尾存在umask 027,则合规,否则为不合规

2、检查重要目录和文件的权限设置

查看

ls -l /etc/passwd /etc/shadow /etc/group /etc/gshadow /etc/hosts.allow /etc/hosts.allow /etc/services /etc/ssh/sshd_config
/etc/passwd文件的权限<=644

/etc/shadow文件的权限<=600

/etc/group文件的权限<=644

/etc/gshadow文件的权限<=600

/etc/hosts.deny文件的权限<=644

/etc/hosts.allow文件的权限<=644

/etc/services文件的权限<=644

/etc/ssh/sshd_config文件的权限<=600

以上条件同时满足则合规,否则不合规。

3、限制可以su为root的用户

防止其他用户知道了root密码,在普通用户通过su 获得高权限

查看文件:more /etc/pam.d/su,存在auth required pam_wheel.so use_uid且未被注释即合规,否则不合规

日志管理
系统中的程序会把自己的日志文件交由rsyslog管理,其规定了对应程序存储日志的地址,和存储优先级(如/var/log/messages 存放的是系统的日志信息,它记录了各种事件

1、检查rsyslog服务是否启用且对所有登录事件都记录

查看文件:more /etc/rsyslog.conf的authpriv值,如果authpriv值为authpriv.* /var/log/secure即合规,否则不合规

2、检查是否启用记录定时任务行为日志功能

查看文件:more /etc/rsyslog.conf的cron值,如果cron值为cron.* 即合规,否则不合规

3、检查是否将 /var/log/messages 文件设置为只可追加

查看文件:lsattr /var/log/messages ,如果其文件属性第六位为a即合规,否则不合规

4、检查SSHLogLevel设置为INFO

查看文件:more vi /etc/ssh/sshd_config 的LogLevel级别,如果其为INFO且该行未被注释即合规,否则不合规