最佳安全实践
检查是否存在账号权限、身份鉴别、密码策略、访问控制等安全配置风险 | - Ubuntu
- Debian
- CentOS
- veLinux
| - 密码复杂性检查
- 检查是否限制密码重用。
- 设置密码失效时间 <= 180 天。
- 密码修改最短周期 >= 2 天。
- 密码到期时间警告 >= 7 天。
- SSH 空密码检测。
- SSH 失败尝试次数 < 5。
- 确保 SSH 协议设置为 2(CentOS 不包括)。
- 减少空闲超时退出时间。
- 开启地址随机化(ASLR)。
- 确保 root 是唯一 UID 为 0 的用户。
- 空口令账户检测。
- 确保 log level 为 info。
- 确保开启日志守护进程(auditd)。
- 确保开启日志守护进程(rsyslog)。
- 设置用户访问配置文件的权限。
- 确保配置文件的安全性。
|
| - 检查审核策略对重要的用户行为和重要安全事件进行审计。
- 匿名账户访问控制。
- 设置密码使用期限策略。
- 密码复杂性配置。
- 强制密码历史设置为 5-24 之间。
- 配置账户锁定策略。
- 配置安全选项账户策略。
- 设置空闲会话断开时间。
- 密码使用到期修改提醒。
- 禁止未登录强制关机。
- 注册表自启动项。
|
等保合规
基于服务器安全等保基线检查,包括等保二级和等保三级合规项检查 | - Ubuntu
- Debian
- CentOS
- veLinux
| - 应启用安全审计功能,审计覆盖到每个用户,对重要的用户行为和重要安全事件进行审计。
- 应对审计记录进行保护,定期备份,避免受到未预期的删除、修改或覆盖等。
- 审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息。
- 应对登录的用户进行身份标识和鉴别,身份标识具有唯一性,身份鉴别信息具有复杂度要求并定期更换。
- 应授予管理用户所需的最小权限,实现管理用户的权限分离。
- 应具有登录失败处理功能,应配置并启用结束会话、限制非法登录次数和当登录连接超时自动退出等相关措施。
- 应重命名或删除默认账户,修改默认账户的默认口令。
- 应对登录的用户分配账户和权限。
- 应通过设定终端接入方式或网络地址范围对通过网络进行管理的管理终端进行限制。
- 应能发现可能存在的已知漏洞,并在经过充分测试评估后,及时修补漏洞。
- 应采用免受恶意代码攻击的技术措施或主动免疫可信验证机制及时识别入侵和病毒行为,并将其有效阻断。
- 当对服务器进行远程管理时,应采取必要措施,防止鉴别信息在网络传输过程中被窃听。
- 应关闭不需要的系统服务、默认共享和高危端口。
- 应遵循最小安装的原则,仅安装需要的组件和应用程序。
- 应及时删除或停用多余的、过期的账户,避免共享账户的存在。
- 应由授权主体配置访问控制策略,访问控制策略规定主体对客体的访问规则(仅等保三级)。
- 应保护审计进程,避免受到未预期的中断(仅等保三级)。
- 访问控制的粒度应达到主体为用户级或进程级,客体为文件、数据库表级(仅等保三级)。
- 应能够检测到对重要节点进行入侵的行为,并在发生严重入侵事件时提供报警(仅等保三级)。
|
| - 应具有登录失败处理功能,应配置并启用结束会话、限制非法登录次数和当登录连接超时自动退出等相关措施身份鉴别。
- 检查审核策略对重要的用户行为和重要安全事件进行审计。
- 用户进行身份标识和鉴别,身份标识具有唯一性,身份鉴别信息具有复杂度要求并定期更换身份鉴别。
- 应重命名或删除默认账户,修改默认账户的默认口令访问控制。
- 应关闭不需要的系统服务、默认共享和高危端口入侵防范。
- 应对登录的用户分配账户和权限访问控制。
- 当对服务器进行远程管理时,应采取必要措施,防止鉴别信息在网络传输过程中被窃听身份鉴别。
- 应对审计记录进行保护,定期备份,避免受到未预期的删除、修改或覆盖等身份鉴别。
- 访问控制的粒度应达到主体为用户级或进程级,客体为文件、数据库表级访问控制(仅等保三级)。
- 应及时删除多余的、过期的帐户,避免共享帐户的存在访问控制(仅等保三级)。
- 应授予管理用户所需的最小权限,实现管理用户的权限分离访问控制(仅等保三级)。
- 应由授权主体配置访问控制策略,访问控制策略规定主体对客体的访问规则访问控制(仅等保三级)。
|