服务器修复

YEQub叶小白2023-11-30 9:59

服务器修复

主要服务器漏洞展示

序号 存在问题 整改建议
1 经核查,Linux操作系统在/etc/passwd文件中未禁用sync、shutdown、halt默认账户。 建议在/etc/passwd文件中禁用sync、shutdown、halt默认账户。
2 经核查,Linux操作系统仅创建root默认账户,未创建系统管理员、审计管理员、安全管理员账户 建议创建系统管理员、审计管理员、安全管理员账号
3 经核查,Linux操作系统在/etc/login.defs文件中配置PASS_MAX_DAYS 99999、PASS_MIN_LEN 5 建议在/etc/login.defs文件中配置PASS_MAX_DAYS 90、PASS_MIN_LEN 8
4 经核查,Linux操作系统在/etc/profile文件中未配置TMOUT值 建议在/etc/profile文件中配置TMOUT=300
5 经核查,Linux操作系统在/etc/profile文件中配置HISTSIZE=1000 建议在/etc/profile文件中配置HISTSIZE=0
6 经核查,Linux操作系统在/etc/pam.d/system-auth文件中未配置登录失败策略。 建议在/etc/pam.d/system-auth中配置auth required pam_tally2.so onerr=fail deny=5 unlock_time=300 even_deny_root unlock_time=300
7 经核查,Linux操作系统在/etc/pam.d/system-auth文件中未配置密码复杂度策略。 建议在/etc/pam.d/system-auth中配置password requisite pam_cracklib.so retry=5 difok=3 minlen=8 ucredit=-1 lcredit=-3 dcredit=-3
8 经核查,Linux操作系统umask值配置为022 建议修改umask值为027
9 经核查,Linux操作系统在/etc/hosts.deny和/etc/hosts.allow中未对登录IP地址进行限制。 建议在etc/hosts.deny和/etc/hosts.allow文件中对通过网络进行管理的地址进行限制

未禁用sync、shutdown、halt默认账户。

未创建系统管理员、审计管理员、安全管理员账户

http://t.csdnimg.cn/1W7rR

设置系统管理员

powershell 复制代码 
# 设置系统管理员及密码
[root@localhost ~]# useradd systemgm
[root@localhost ~]# passwd systemgm
Changing password for user systemgm.
New password: 
Retype new password: 
passwd: all authentication tokens updated successfully.
password: [email protected]
# 创建组并将用户添加到组(/var是要给用户权限访问的路径),并设置目录权限。
[root@localhost ~]# groupadd sysgroup
[root@localhost ~]# usermod -G sysgroup systemgm
[root@localhost ~]# chown -R systemgm:sysgroup /var
[root@localhost ~]# chmod 741 /var

设置安全管理员

powershell 复制代码 
# 创建用户并指定登录的起始目录
adduser anquangm
usermod -d /etc anquangm


[root@localhost ~]# sudo useradd -d /etc anquangm
[root@localhost ~]# passwd anquangm
password:M1a2n3q4u5a6n7M

[root@localhost ~]# groupadd anquangroup
[root@localhost ~]# usermod -G anquangroup anquangm
[root@localhost ~]# chown -R anquangm:anquangroup /etc
[root@localhost ~]# chmod 700 /etc

设置审计管理员

powershell 复制代码 
[root@localhost ~]# useradd shenjigm
[root@localhost ~]# passwd shenjigm

# 设置shenji用户只有sudo的查看权限 
# 编辑/etc/sudoers
shenjigm     ALL = (root) NOPASSWD: /usr/bin/cat , /usr/bin/less , /usr/bin/more , /usr/bin/tail , /usr/bin/head

# 设置只能shenji用户访问/var/log,配置目录权限
[root@localhost ~]# groupadd shenjigmGroup
[root@localhost ~]# usermod -G shenjigmGroup shenjigm
[root@localhost ~]# chown -R shenjigm:shenjigmGroup /var/log
[root@localhost ~]# chmod 700 /var/log

chown -R root:root /var

chown -R root:root /etc

chown -R root:root /var/log

chmod 775 /var

chmod 775 /etc

chmod 775 /var/log

OpenSSH升级报错排查

https://blog.csdn.net/TZ_GG/article/details/100888723

配置PASS_MAX_DAYS 99999、PASS_MIN_LEN 5

在/etc/login.defs中进行配置,修改后对新创建的用户生效

未配置TMOUT值

/etc/profile

export TMOUT=300

source /etc/profile

配置HISTSIZE=0

/etc/profile

HISTSIZE=0

/etc/profile

未配置登录失败/密码复杂度策略

/etc/pam.d/system-auth

主要添加 auth required pam_tally2.so onerr=fail deny=5 unlock_time=300 even_deny_root unlock_time=300

password requisite pam_cracklib.so retry=5 difok=3 minlen=8 ucredit=-1 lcredit=-3 dcredit=-3

powershell 复制代码 
#%PAM-1.0
# This file is auto-generated.
# User changes will be destroyed the next time authconfig is run.
auth        required      pam_env.so
auth        required      pam_faildelay.so delay=2000000
auth        sufficient    pam_unix.so nullok try_first_pass
auth        requisite     pam_succeed_if.so uid >= 1000 quiet_success
auth        required      pam_deny.so
auth        required      pam_tally2.so onerr=fail deny=5 unlock_time=300 even_deny_root unlock_time=300

account     required      pam_unix.so
account     sufficient    pam_localuser.so
account     sufficient    pam_succeed_if.so uid < 1000 quiet
account     required      pam_permit.so

password    requisite     pam_pwquality.so try_first_pass local_users_only retry=3 authtok_type=
password    sufficient    pam_unix.so sha512 shadow nullok try_first_pass use_authtok
password    required      pam_deny.so
password    requisite      pam_cracklib.so retry=5 difok=3 minlen=8 ucredit=-1 lcredit=-3 dcredit=-3

session     optional      pam_keyinit.so revoke
session     required      pam_limits.so
session     optional      pam_systemd.so
session     [success=1 default=ignore] pam_succeed_if.so service in crond quiet use_uid
session     required      pam_unix.so

umask值022配置为027

powershell 复制代码 
[root@localhost ~]# umask
0022
[root@localhost ~]# umask 027
[root@localhost ~]# umask
0027
[root@localhost ~]#

可以参考

https://blog.csdn.net/m0_57485346/article/details/129823602

相关推荐
默心24 分钟前
运维工程师面试经验分享
运维·经验分享·面试
weixin_4342556133 分钟前
命令行快速上传文件到SFTP服务器(附参考示例)
linux·运维·服务器
Dontla39 分钟前
Webpack DefinePlugin插件介绍(允许在编译时创建JS全局常量,常量可以在源代码中直接使用)JS环境变量
运维·javascript·webpack
掘金-我是哪吒1 小时前
分布式微服务系统架构第133集:运维服务器6年经验,高并发,大数据量系统
运维·服务器·分布式·微服务·系统架构
Funny-Boy1 小时前
Reactor (epoll实现基础)
服务器·网络·c++
云计算-Security1 小时前
Jenkins 执行器(Executor)如何调整限制?
运维·jenkins
***似水流年***1 小时前
Linux任务管理与守护进程
linux·运维·服务器
天天爱吃肉82182 小时前
车载以太网驱动智能化:域控架构设计与开发实践
java·运维·网络协议·微服务
Q_Q19632884752 小时前
python的漫画网站管理系统
开发语言·spring boot·python·django·flask·node.js·php
IP管家3 小时前
企业级IP代理解决方案:负载均衡与API接口集成实践
服务器·网络·数据库·网络协议·tcp/ip·容器·负载均衡
热门推荐
01KGG转MP3工具|非KGM文件|解密音频02YOLOv8入门 | 重要性能衡量指标、训练结果评价及分析及影响mAP的因素【发论文关注的指标】03从零安装 LLaMA-Factory 微调 Qwen 大模型成功及所有的坑04【SpeedAI科研小助手】2分钟极速解决知网维普重复率、AIGC率过高,一键全文降!文件格式不变,公式都保留的!05DeepSeek各版本说明与优缺点分析06Coze扣子平台完整体验和实践(附国内和国际版对比)07Ubuntu24.04安装中文输入法08YOLOv5改进 | 添加CA注意力机制 + 增加预测层 + 更换损失函数之GIoU09苍穹外卖面试总结10第一届 “帕鲁杯“ writeup