1、 确保配置了bootloader配置的权限
chown root:root /boot/grub2/grub.cfg
chmod og-rwx /boot/grub2/grub.cfg
2、 确保设置了引导程序密码
使用以下命令创建加密的密码grub2-setpassword:
grub2-setpassword
Enter password:
Confirm password:
3、 确保单用户模式需要身份验证
编辑/usr/lib/systemd/system/rescue.service 及/usr/lib/systemd/system/emergency.service 设置ExecStart
ExecStart=-/bin/sh -c "/sbin/sulogin; /usr/bin/systemctl --fail --no-block default"
4、 确保核心转储受到限制
将以下行添加到/etc/security/limits.conf或/etc/security/limits.d/*文件中:
* hard core 0
在/etc/sysctl.conf或/etc/sysctl.d/*文件中设置以下参数:
fs.suid_dumpable = 0
运行以下命令来设置活动内核参数
sysctl -w fs.suid_dumpable=0
5、 确保启用了地址空间布局随机化(ASLR)
在/etc/sysctl.conf或/etc/sysctl.d/*文件中设置以下参数:
kernel.randomize_va_space = 2
运行以下命令来设置内核参数:
sysctl -w kernel.randomize_va_space=2
6、 确保已配置SSH空闲超时间隔
编辑/etc/ssh/sshd_config文件以设置参数:
ClientAliveInterval 300
ClientAliveCountMax 0
7、 确保SSH MaxAuthTries设置为4或更低
编辑/etc/ssh/sshd_config文件以设置参数,如下所示:
MaxAuthTries 4
8、 确保已禁用SSH空密码登录
编辑/etc/ssh/sshd_config文件以设置参数:
PermitEmptyPasswords no
9、 确保配置了密码尝试失败的锁定
编辑/etc/pam.d/password-auth 和/etc/pam.d/system-auth 文件:
auth required pam_faillock.so preauth audit silent deny=5 unlock_time=900
auth [success=1 default=bad] pam_unix.so
auth [default=die] pam_faillock.so authfail audit deny=5 unlock_time=900
auth sufficient pam_faillock.so authsucc audit deny=5 unlock_time=900
10、 确保默认用户umask限制为027或更高
编辑/etc/bash.bashrc、/etc/profile和/etc/profile.d/*.sh文件(以及系统上支持的任何其他Shell的适当文件),并添加或编辑umask参数,如下所示:
备注(修复完后运行以下命令以确保是否已完全修复)
grep "umask" /etc/bashrc
grep "umask" /etc/profile
grep "umask" /etc/profile.d/*.sh
