# 1.软件安全和BUG修复更新 ```bash yum update glibc yum update procps-ng yum update NetworkManager yum update wget yum update binutils yum update wpa_supplicant yum update systemd yum update systemd-libs yum update systemd-sysv ``` # 2.升级内核(需要重启) ```bash yum update kernel yum update kernel-headers yum update kernel-tools yum update kernel-tools-libs yum update kernel-devel yum update python-perf ``` ## 2.1 内核相关的包说明 - kernel-lt The Linux kernel. (The core of any Linux-based operating system.) 最核心的包，所有Linux系统的基础 - kernel-lt-devel Development package for building kernel modules to match the kernel. 内核开发包，更多是提供给内核开发人员开发内核的一些功能模块 - kernel-lt-doc Various bits of documentation found in the kernel sources. 内核包的指引文档 - kernel-lt-headers Header files of the kernel, for use by glibc. 内核的头文件，一般其他应用需要调用内核能力就要引入这些头文件 - kernel-lt-tools Assortment of tools for the kernel. 内核级别的一些工具 - kernel-lt-tools-libs Libraries for the kernel tools. 内核级别工具所依赖的包 - kernel-lt-tools-libs-devel Development package for the kernel tools libraries. 内核级别工具开发所需的依赖包 ## 2.2 一些内核相关命令 查看当前版本内核信息 ```bash uname -a ``` 查看系统版本 ```bash cat /etc/redhat-release ``` 查看已安装的内核 ```bash rpm -qa | grep kernel yum list kernel ``` 配置``yum update``时不升级内核 ``vi /etc/yum.conf`` 添加： ```bash exclude=kernel* ``` # 3.CentOS-7安全基线检查 ## 3.1 身份鉴别 ### 3.1.1 设置密码失效时间 设置密码失效时间，强制定期修改密码，减少密码被泄漏和猜测风险，使用非密码登陆方式(如密钥对)请忽略此项。 加固建议: 使用非密码登陆方式如密钥对，请忽略此项。在 ``/etc/login.defs`` 中将 ``PASS_MAX_DAYS`` 参数设置为 **60-180** 之间，如: ```bash PASS_MAX_DAYS 90 ``` 需同时执行命令设置root密码失效时间： ```bash chage --maxdays 90 root ``` 操作时建议做好记录或备份。 ### 3.1.2 设置密码修改最小间隔时间 设置密码修改最小间隔时间，限制密码更改过于频繁。 加固建议： 在 ``/etc/login.defs`` 中将``PASS_MIN_DAYS``参数设置为 **7-14** 之间,建议为 **7**： ```bash PASS_MIN_DAYS 7 ``` 需同时执行命令为root用户设置： ```bash chage --mindays 7 root ``` 操作时建议做好记录或备份。 ### 3.1.3 确保密码到期警告天数为7或更多 确保密码到期警告天数为7或更多。 加固建议： 在``/etc/login.defs``中将``PASS_WARN_AGE``参数设置为 **7-14** 之间，建议为 **7**： ```bash PASS_WARN_AGE 7 ``` 同时执行命令使root用户设置生效： ```bash chage --warndays 7 root ``` 操作时建议做好记录或备份。 ### 3.1.4 密码复杂度检查 检查密码长度和密码是否使用多种字符类型 加固建议： 编辑``/etc/security/pwquality.conf``，把``minlen``（密码最小长度）设置为 **9-32** 位，把``minclass``（至少包含小写字母、大写字母、数字、特殊字符等4类字符中等3类或4类）设置为 **3或4**。如： ```bash minlen=10 minclass=3 ``` 操作时建议做好记录或备份。 ### 3.1.5 检查密码重用是否受限制 强制用户不重用最近使用的密码，降低密码猜测攻击风险。 加固建议： 在``/etc/pam.d/password-auth``和``/etc/pam.d/system-auth``中``password sufficient pam_unix.so``这行的末尾配置``remember``参数为 **5-24** 之间，原来的内容不用更改，只在末尾加了``remember=5``。 操作时建议做好记录或备份。 ### 3.1.6 检查系统空密码账户 加固建议： 为用户设置一个非空密码，或者执行``passwd -l <username>``锁定用户（停止账号使用）。 操作时建议做好记录或备份。 ### 3.1.7 确保root是唯一的UID为0的帐户 除 root 以外其他UID为0的用户都应该删除，或者为其分配新的UID。 加固建议： 除 root 以外其他UID为0的用户(查看命令``cat /etc/passwd | awk -F: '($3 == 0) { print $1 }'|grep -v '^root$'``)都应该删除，或者为其分配新的UID。 操作时建议做好记录或备份。 ## 3.2 服务配置 ### 3.2.1 SSHD强制使用V2安全协议 加固建议: 编辑``/etc/ssh/sshd_config``文件以按如下方式设置参数： ```bash Protocol 2 ``` 操作时建议做好记录或备份。 ### 3.2.2 设置SSH空闲超时退出时间 设置SSH空闲超时退出时间,可降低未授权用户访问其他用户ssh会话的风险。 加固建议: 编辑``/etc/ssh/sshd_config``，将``ClientAliveInterval``设置为 **300到900**，即 **5-15** 分钟，将``ClientAliveCountMax``设置为 **0-3** 之间。 ```bash ClientAliveInterval 600 ClientAliveCountMax 2 ``` 操作时建议做好记录或备份。 ### 3.2.3 禁止SSH空密码用户登录 加固建议： 编辑文件``/etc/ssh/sshd_config``，将``PermitEmptyPasswords``配置为 **no**。 ```bash PermitEmptyPasswords no ``` 操作时建议做好记录或备份。 ### 3.2.4 确保SSH MaxAuthTries设置为3到6之间 设置较低的Max AuthTrimes参数将降低SSH服务器被暴力攻击成功的风险。 加固建议： 在``/etc/ssh/sshd_config``中取消``MaxAuthTries``注释符号 **#** ，设置最大密码尝试失败次数 **3-6**，建议为 **4**： ```bash MaxAuthTries 4 ``` 操作时建议做好记录或备份。 ### 3.2.5 确保SSH LogLevel设置为INFO 确保SSH LogLevel设置为INFO,记录登录和注销活动。 加固建议： 编辑``/etc/ssh/sshd_config``文件以按如下方式设置参数(取消注释): ```bash LogLevel INFO ``` 操作时建议做好记录或备份。 ## 3.3 安全审计 ### 3.3.1 确保rsyslog服务已启用 确保rsyslog服务已启用，记录日志用于审计。 加固建议： 运行以下命令启用rsyslog服务： ```bash systemctl enable rsyslog systemctl start rsyslog ``` 操作时建议做好记录或备份。 ## 3.4 文件权限 ### 3.4.1 访问控制配置文件的权限设置 加固建议： 运行以下4条命令： ```bash chown root:root /etc/hosts.allow chown root:root /etc/hosts.deny chmod 644 /etc/hosts.deny chmod 644 /etc/hosts.allow ``` 操作时建议做好记录或备份。 ### 3.4.2 设置用户权限配置文件的权限 加固建议： 执行以下5条命令 ```bash chown root:root /etc/passwd /etc/shadow /etc/group /etc/gshadow chmod 0644 /etc/group chmod 0644 /etc/passwd chmod 0400 /etc/shadow chmod 0400 /etc/gshadow ``` 操作时建议做好记录或备份。 ## 3.5 入侵防范 ### 3.5.1 开启地址空间布局随机化 它将进程的内存空间地址随机化来增大入侵者预测目的地址难度，从而降低进程被成功入侵的风险 加固建议： 在``/etc/sysctl.conf``或``/etc/sysctl.d/*``文件中设置以下参数： ``kernel.randomize_va_space = 2`` 执行命令： ``sysctl -w kernel.randomize_va_space=2``。 操作时建议做好记录或备份。