操作系统基础安全配置建议
- 账号口令类
- 禁用root、administrator超管账号、注释不需要的用户和用户组
- 不同类型账号需做好账号分离,应保证各账号权限最小化
- 不允许存在空口令账号
- 各类型账号采用不同强度的密码复杂度策略【基本策略需要>=8位、含有英文大小写+数字,三种类型混合】
- 账号类型:应用账号、系统管理员账号、网站后台超级用户等
- 比如系统管理员使用>=12位,同时包含英文大小写、数字、特殊符号,且不能连贯的、有含义的、容易被猜到的、网络上已经形成弱密码字典的
- 应形成定期修改密码的策略
- 组、账号、角色权限最小化
- 提权类
- su权限账号分类控制、并设定验证口令
- sudo权限提升、并定设定校验当前用户密码
- 设置默认umask值
- 端口服务类
- 关闭无用、不必要的服务
- 远程连接类
- 设置远程连接SSH协议版本
- 限定远程连入得特定源IP地址
- 设置登录超时时间、比如600秒后自动注销
- 设置密码错误次数,设定暴力破解锁定账号配置
- 日志类
- 必须启用syslogd【具有一定规模时,应统一部署syslog服务器】
- 记录所有用户登录、时间戳、注销、增删改查等操作日志
- 日志应形成定期清理、备份的机制
- 对日志模块占用系统资源必须有相应的限制机制
- 禁止日志文件和操作系统存储在同一分区
- 必须启用syslogd【具有一定规模时,应统一部署syslog服务器】
- 数据与存储
- 禁止明文存储秘钥
- 日志中禁止记录明文的敏感数据
- 全局配置类
- 关闭系统自动更新
- 账号注销时自动清空历史命令记录
- 配置安全引导密码控制,防止恶意重置root密码
- 如启用vnc-server,则需设置vnc专用口令