一、NGINX
二、centos
1.设置密码失效时间身份鉴别
描述:设置密码失效时间,强制定期修改密码,减少密码被泄漏和猜测风险,使用非密码登陆方式(如密钥对)请忽略此项。
检查提示
--
加固建议
使用非密码登陆方式如密钥对,请忽略此项。在 /etc/login.defs 中将 PASS_MAX_DAYS 参数设置为 60-180之间,如:
PASS_MAX_DAYS 90需同时执行命令设置root密码失效时间:
chage --maxdays 90 root操作时建议做好记录或备份
三、redis
1.禁用或者重命名危险命令 入侵防范
描述
Redis中线上使用keys *命令是非常危险的,应该禁用或者限制使用这些危险的命令,可降低Redis写入文件漏洞的入侵风险。
检查提示
--
加固建议
修改 redis.conf 文件,添加
rename-command FLUSHALL ""
rename-command FLUSHDB ""
rename-command CONFIG ""
rename-command KEYS ""
rename-command SHUTDOWN ""
rename-command DEL ""
rename-command EVAL ""然后重启redis。 重命名为"" 代表禁用命令,如想保留命令,可以重命名为不可猜测的字符串,如: rename-command FLUSHALL joYAPNXRPmcarcR4ZDgC
redis.conf 中设置 rename-command DEL "" 只针对命令行?
在Redis中,rename-command 配置指令用于将命令重命名,以增加安全性。例如,可以将 FLUSHALL 重命名为一个难以猜测的命令,以此来减少恶意用户利用默认命令执行未授权操作的风险。
rename-command DEL "" 这样的配置表示将 DEL 命令重命名为空字符串,也就是禁用该命令。这样做可以通过一个空字符串作为新命令名来完全禁用原有命令。
但是,需要注意的是,Redis 并没有提供完全禁用命令的机制。即使你将 DEL 命令重命名为空字符串,用户仍然可以通过其他方式执行 DEL 命令,例如通过编程语言中的 Redis 客户端或者使用其他未修改的命令名调用 DEL。
如果你想要完全禁止使用 DEL 命令,你可以考虑修改 Redis 源代码,从源头上移除 DEL 命令的执行功能。
另外,如果你只是想在客户端界面(例如 redis-cli)中禁用 DEL 命令,你可以通过编写一个简单的脚本或函数来拦截和处理 DEL 命令的执行请求。例如,在一个简单的 bash 脚本中,你可以检查用户输入的命令,如果是 DEL,则直接返回错误信息,而不是将其传递给 Redis 服务器执行。
#!/bin/bash
# 简单的 CLI 代理脚本,用于禁用 DEL 命令
# 检测是否输入了 DEL 命令
if [[ $1 == "DEL" ]]; then
echo "Error: DEL command is disabled."
else
# 如果不是 DEL 命令,则传递给 Redis 服务器
redis-cli "$@"
fi使用这个脚本时,你只需要将你的 redis-cli 命令替换为这个脚本的路径即可。例如,你原本可能会这样使用 redis-cli:
redis-cli DEL somekey现在你可以使用这个脚本:
./disable_del.sh DEL somekey如果是第一个参数是 DEL,则脚本会返回错误信息,否则将参数传递给 redis-cli 执行。