0x4--Windows基线检查(按照CIS-LinuxWindows2008R2最新基线标准进行系统层面基线检测)
0x5--CIS各种基线附件
描述强制用户不重用最近使用的密码,降低密码猜测攻击风险加固建议在/etc/pam.d/password-auth和/etc/pam.d/system-auth中passwordsufficientpam_unix.so这行的末尾配置remember参数为5-24之间,原来的内容不用更改,只在末尾加了remember=5。
描述设置较低的MaxAuthTrimes参数将降低SSH服务器被暴力攻击成功的风险。加固建议在/etc/ssh/sshd_config中取消MaxAuthTries注释符号#,设置最大密码尝试失败次数3-6,建议为4:MaxAuthTries4
描述检查密码长度和密码是否使用多种字符类型加固建议编辑/etc/pam.d/password-auth和/etc/pam.d/system-auth配置文件中包含passwordrequisitepam_cracklib.so这一行。增加配置minlen(密码最小长度)设置为9-32位,minclass(至少包含小写字母、大写字母、数字、特殊字符等4类字符中等3类或4类)设置为3或4。如passwordrequisitepam_cracklib.sotry_first_passretry=3minlen=11minclass=3
描述它将进程的内存空间地址随机化来增大入侵者预测目的地址难度,从而降低进程被成功入侵的风险加固建议执行命令:sysctl-wkernel.randomize_va_space=2
描述设置用户权限配置文件的权限加固建议执行以下5条命令chownroot:root/etc/passwd/etc/shadow/etc/group/etc/gshadowchmod0644/etc/groupchmod0644/etc/passwdchmod0400/etc/shadowchmod0400/etc/gshadow
描述访问控制配置文件的权限设置加固建议运行以下4条命令:chownroot:root/etc/hosts.allowchownroot:root/etc/hosts.denychmod644/etc/hosts.denychmod644/etc/hosts.allow
描述确保rsyslog服务已启用,记录日志用于审计加固建议运行以下命令启用rsyslog:chkconfigrsyslogonservicersyslogstart
描述SSHD强制使用V2安全协议加固建议编辑/etc/ssh/sshd_config文件以按如下方式设置参数:Protocol2
描述确保密码到期警告天数为7或更多加固建议在/etc/login.defs中将PASS_WARN_AGE参数设置为7-14之间,建议为7:PASS_WARN_AGE7同时执行命令使root用户设置生效:chage--warndays7root
描述检查系统空密码账户加固建议为用户设置一个非空密码,或者执行passwd-l