阿里云服务器基线修复

最新推荐文章于 2025-06-05 11:11:45 发布
原创 最新推荐文章于 2025-06-05 11:11:45 发布 · 1.6k 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#阿里云服务器基线修复

1、设置用户权限配置文件的权限

执行以下5条命令:

 chown root:root /etc/passwd /etc/shadow /etc/group /etc/gshadow
 chmod 0644 /etc/group 
 chmod 0644 /etc/passwd 
 chmod 0400 /etc/shadow 
 chmod 0400 /etc/gshadow

注解:

/etc/group 用户群组信息文件

/etc/passwd 用户信息文件

/etc/shadow 用户密码文件

/etc/gshadow 群组密码文件

2、禁止SSH空密码用户登录

在/etc/ssh/sshd_config中取消PermitEmptyPasswords no注释符号#

注解:

/etc/ssh/sshd_config ssh远程登录配置文件

PermitEmptyPasswords no 参数含义:不允许空密码登录

3、设置密码失效时间

使用非密码登陆方式如密钥对,请忽略此项。在 /etc/login.defs 中将 PASS_MAX_DAYS 参数设置为 60-180之间,如 PASS_MAX_DAYS 90。需同时执行命令设置root密码失效时间: chage --maxdays 90 root

注解:

Linux下对于新添加的用户,用户密码过期时间是从 /etc/login.defs 中 PASS_MAX_DAYS 提取的,普通系统默认就是99999,
而有些安全操作系统是90。更改此处,只是让新建的用户默认密码过期时间变化,已有用户密码过期时间仍然不变。

chage --maxdays 90 root 设置root账号的密码有效期限为90天

或:chage -M 90 root

-M:密码保持有效的最大天数

-m:密码可更改的最小天数。为零时代表任何时候都可以更改密码。

4、设置密码修改最小间隔时间

在 /etc/login.defs 中将 PASS_MIN_DAYS 参数设置为5-14之间,建议为7:
PASS_MIN_DAYS 7 需同时执行命令为root用户设置:
chage --mindays 7 root

注解:

PASS_MAX_DAYS 90 #密码最长过期天数

PASS_MIN_DAYS 80 #密码最小过期天数

chage --mindays 7 root 设置root密码最少七天才可更改

或 chage -m 7 root

5、确保SSH LogLevel设置为INFO

编辑 /etc/ssh/sshd_config 文件以按如下方式设置参数(取消注释):
LogLevel INFO

注解:

LogLevel INFO:设置记录sshd日志消息的级别为INFO

6、SSHD强制使用V2安全协议

编辑 /etc/ssh/sshd_config 文件以按如下方式设置参数: Protocol 2

注解:

Protocol 2:设置协议版本为SSH2,centos7默认第一版本已拒绝,因SSH1存在漏洞与缺陷

7、设置SSH空闲超时退出时间

编辑/etc/ssh/sshd_config,将ClientAliveInterval 设置为300到900,即5-15分钟,将ClientAliveCountMax设置为0。

ClientAliveInterval 900 
ClientAliveCountMax 0

注解:

ClientAliveInterval 900 表示每隔300秒向客户端发送一个“空包”,以保持于客户端的连接。 此选项仅适用于协议版本2。

ClientAliveCountMax 0 表示总共发送多少次“空包”,之后断开它们之间的连接

上面两行配置的意思为:设置的空闲超时时间间隔是900秒,ssh会话将被终止,甚至发送都不会保持活动包

阿里云云平台的物理安全防御措施
maoguan121的博客
09-08 2626
阿里云数据中心火灾探测系统利用热和烟雾传感器实现,传感器位于天花板和地板下面;当触发事件时,提供声光报警。数据中心采用整体气体灭火系统与手动灭火器,同时组织火灾检测与应对的培训和演练。
深度全面对比分析:阿里云服务器和腾讯云服务器那家好?
jianzhandaren的博客
11-07 4063
目录 发展历程 主要产品 性能评测 产品价格 售后服务 云服务器具有维护成本低,安全稳定,高可扩展性和 7 X 24 小时的售后支持的优势,因此云服务器成为中小企业建站的首要选择。国内的云服务器竞争也进入了跑马圈地的时代,以阿里云、腾讯云、百度云三大BAT为首,不断推出优惠活动,争取更多的用户体量;以华为云、天翼云、西部数据为代表的云产品服务商紧跟其后,谁也不愿意放弃云市场的这一篇蓝海...
Linux基线修复
02-18
Linux系统centos 7 Linux基线修复shell 脚本,请放心下载
服务器基线扫描修复,怎么对服务器进行基线和漏洞扫描
weixin_42588555的博客
08-06 2123
怎么对服务器进行基线和漏洞扫描 内容精选换一换如果您的主机已在本地配置了账号和密码,当您修改该主机的IP地址后,请先在本地重新配置该主机的账号和密码,然后在漏洞扫描服务中添加该主机并授权漏洞扫描服务可以访问该主机。有关对主机进行授权的详细操作,请参见如何对主机进行授权?。北京时间1月3日,Intel处理器芯片被曝出存在严重的Meltdown和Spectre安全漏洞,漏洞详情如下:漏洞名称:Inte...
linux设置密码过期策略
最新发布
xixingzhe2的博客
06-05 647
你能够使用chage -l命令来查看指定用户的密码过期信息。例如,查看用户example示例。
centos7 主机基线扫描修复
Dan_Xiao_Hui的博客
08-10 1335
主机基线扫描修复
绿盟 rhel6的oracle 基线修复脚本。
cuankun4601的博客
04-03 350
注意事项: 1、脚本中数据库用户oracle的密码为Oracle_123,可修改 2、Rac库中,grid用户不要放在dba组中。 3、revoke execute on'UTL_FILE','UTL_TCP','UTL...
docker基线安全修复和容器逃逸修复
JAVA领域优质创作者,基于分片网络查询方法专利发明者。
02-29 1917
Docker 是一种常用的容器化技术,但在使用过程中也存在一些常见的漏洞。以下是一些常见的 Docker 漏洞及其修复方法:
KubeNode:阿里巴巴云原生 容器基础设施运维实践
2301_76668692的博客
04-19 377
无论是哪家公司,都很重视高并发高可用的技术,重视基础,重视JVM。面试是一个双向选择的过程,不要抱着畏惧的心态去面试,不利于自己的发挥。同时看中的应该不止薪资,还要看你是不是真的喜欢这家公司,是不是能真的得到锻炼。其实我写了这么多,只是我自己的总结,并不一定适用于所有人,相信经过一些面试,大家都会有这些感触。最后我整理了一些面试真题资料,技术知识点剖析教程,还有和广大同仁一起交流学习共同进步,还有一些职业经验的分享。《互联网大厂面试真题解析、进阶开发核心学习笔记、全套讲解视频、实战项目源码讲义》
阿里云高并发解决方案
abin233的博客
02-18 7358
今天这篇帖子我会讲解一下金蝶财务软件K3_CLOUD高并发部署在阿里云上得解决方案,本篇博客同样适用于其他软件高并发上云部署 以我去年12月份的一个客户项目为例。 做过项目的朋友都知道,小客户比较关注的是成本,大客户关注的是价值和服务。高并发客户一般都会有专业的IT运维人员,会非常关心软件运行的稳定性和安全性,用单单一台云服务器做部署是很难满足客户的需求的而且会带来很大的安全隐患。 这里我们会用到...
阿里云介绍
NilEcho2333的博客
09-05 4104
阿里云 概念 阿里云创立于2009年,是全球领先的云计算及人工智能科技公司,致力于以在线公共服务的方式,提供安全、可靠的计算和数据处理能力,让计算和人工智能成为普惠科技。阿里云服务着制造、金融、政务、交通、医疗、电信、能源等众多领域的领军企业,包括中国联通、12306、中石化、中石油、飞利浦、华大基因等大型企业客户,以及微博、知乎、锤子科技等明星互联网公司。在天猫双11全球狂欢节、12306春运购票等极富挑战的应用场景中,阿里云保持着良好的运行纪录。 背景 阿里云创建于2009年,这家公司从创建开始就被定
linux基线安全一键检查与修复
04-20
本脚本使用shell语言编写,根据linux基线安全标准,对centos 7 操作系统进行扫描与修复。优点如下: (1)可视化操作 (2)一键扫描/修复 (3)脚本收纳了14项安全标准,并支持扩展 (4)脚本中涉及到数组、函数的简单应用,可供初学者研究、学习。
绿盟oracle基线扫描的修复过程
cuankun4601的博客
06-12 754
\\检查是否限制具备数据库超级管理员(SYSDBA)权限的用户远程登录。已修复 修复前: SQL> show parameter remote_login_passwordfile; NAME ...
阿里云Centos系统基线问题修改
qq_42683219的博客
07-20 541
声明:未经允许不得转载本博客,转载请加来源 一、设置密码失效时间 第一步:查看login.defs文件,找到PASS_MAX_DAYS参数 第二步:使用vim进行更改 首先 按下A键从普通模式下进入编辑模式这时屏幕左下角出现INSERT字样 然后光标移动到要修改的地方 按照提示要求修改PASS_MAX_DAYS进行修改 第三步:保存退出 先按下ESC再输入:最后输入wq,Enter回车...
【linux】linux基础命令-chage详解
热门推荐
qq_42499737的博客
08-05 1万+
文章目录 chage的作用 使用举例 列出用户密码的有效期 设置密码过期时间为立即过期(0) 设置登陆必须修改密码 设置gaosh3 密码60天后过期,至少7天后才能修改密码,密码过期前7天开始收到告警信息 总结 chage 详解 1. chage的作用 作用: chage用于密码的实效管理,用来修改帐号和密码的有效期。 [root@zmedu-17 day05]# chage --help 用法:chage [选项] 登录 选项: -d, --lastday 最近日期 将最近一次
linux 用户密码策略--chage命令_两次改变密码之间相距的最大天数(1)
2201_75604341的博客
05-10 511
m, --mindays 最小天数 将两次改变密码之间相距的最小天数设为“最小天数”-M, --maxdays 最大天数 将两次改变密码之间相距的最大天数设为“最大天数”-d, --lastday 最近日期 将最近一次密码设置时间设为“最近日期”1.设置用户密码最小天数(-m),最大天数(-M),提醒天数(-W),不活跃天数(-I)-W, --warndays 警告天数 将过期警告天数设为“警告天数”5、LVS、Nginx、HAproxy有什么区别?
linux基本功系列之chage命令实战
低调,谦虚,自律,反思,成长,保持热爱,奔赴梦想
01-17 843
chage命令实战
chown(1) command
Dablelv 的博客专栏。
10-28 4511
chown 用来改变某个文件或目录的属主(owner)和所属用户组(group)。chown 仅限超级用户 root 使用。该命令通过改变文件的属主或者所属用户组可以向某个用户授权。属主可以是用户名或用户 ID,用户组可以是组名或组 ID。文件名是由空格分隔的文件列表,在文件名中可以包含通配符。一般来说,这个指令仅限系统管理者(root)使用,普通用户没有权限改变文件属主及所属组。
linux账号密码延期90天命令,Linux(CentOS)用户修改密码有效期(chage命令)
weixin_30556403的博客
05-03 5929
Linux设置用户密码的有效期限解决:先查看密码过期时间,现在是90天[root@01 ~]# chage -l testuserLast password change : Jul 10, 2017Password expires : Oct 08, 2018Password inactive : neverAccount expires : neverMinim...
服务器漏洞基线扫描详细步骤
03-18
<think>好的,我现在需要回答用户关于服务器漏洞基线扫描的详细步骤的问题。首先,我需要回顾用户提供的引用内容,找到相关的信息来支持回答。用户提到了引用[3]、[4]、[5],这些涉及到CIS基线、OpenSCAP工具、安全评估流程等。 首先,用户想知道具体的操作流程和步骤。我需要从引用中提取关键点。引用[3]提到了在RHEL 8上安装OpenSCAP组件,运行扫描命令,生成报告。引用[4]和[5]则提到了基线检查作为安全评估的一部分,涉及配置检查、合规标准等。 接下来,我需要将这些信息整理成步骤。可能需要包括准备工作、安装工具、配置扫描策略、执行扫描、分析结果、修复漏洞、重新扫描等环节。每个步骤需要详细说明,例如安装哪些软件包,如何运行命令,如何处理结果。 还要注意用户提到的基线扫描可能涉及CIS标准,所以需要明确提到选择适当的基线配置文件,比如CIS的Benchmark。同时,生成报告的不同格式(HTML、PDF)也是重要步骤,方便用户查看。 另外,引用[2]提到扫描后的扣分机制,虽然主要针对网站扫描,但可能对服务器扫描也有参考价值,比如修复漏洞后重新扫描的重要性。需要强调修复后的验证步骤。 需要确保回答结构清晰,分步骤说明,并且引用相关引用内容作为支持。例如,在安装OpenSCAP时引用[3],在基线检查部分引用[4]和[5]。 最后,生成相关问题,可能涉及工具选择、合规标准、报告分析、自动化等方面,确保问题与主题相关,帮助用户进一步了解。</think>### 服务器漏洞基线扫描的详细步骤 #### 1. **准备工作** - **明确目标范围**:确定需要扫描的服务器IP地址、端口、服务类型(如Web服务、数据库等)[^4]。 - **选择合规标准**:根据需求选择基线检查标准(如CIS Benchmark、NIST、ISO 27001等),例如引用[3]中提到的RHEL 8 CIS安全合规基线。 #### 2. **安装扫描工具** - 使用OpenSCAP等开源工具,安装所需组件: ```bash # RHEL/CentOS系统示例(引用[3]) $ yum install openscap-scanner scap-security-guide scap-security-guide-doc ``` #### 3. **配置扫描策略** - 选择对应的SCAP(Security Content Automation Protocol)配置文件。例如,CIS基线文件通常位于: ```bash /usr/share/xml/scap/ssg/content/ssg-rhel8-ds.xml ``` - 通过命令指定配置文件: ```bash $ oscap xccdf eval --profile cis_server_l1 --results scan_results.xml --report report.html /usr/share/xml/scap/ssg/content/ssg-rhel8-ds.xml ``` - `--profile`:选择合规基线等级(如`cis_server_l1`表示CIS Level 1标准)[^3]。 #### 4. **执行扫描** - 运行扫描命令,覆盖目标服务器的配置项(如密码策略、文件权限、服务启停等): ```bash $ oscap ssh --user root --host 192.168.1.100 xccdf eval --fetch-remote-resources --profile cis_server_l1 /usr/share/xml/scap/ssg/content/ssg-rhel8-ds.xml ``` - 支持远程扫描(需SSH权限)或本地扫描[^3][^5]。 #### 5. **分析扫描结果** - **查看报告**:生成的报告(如HTML或PDF)会列出不符合基线的项,按风险等级分类(如高危、中危、低危)[^2]。 - **定位问题**:例如: - 未启用防火墙 - 密码复杂度策略未配置 - 冗余服务未关闭 #### 6. **修复漏洞与基线偏差** - **手动修复**:根据报告中的修复建议调整配置,例如修改`/etc/ssh/sshd_config`限制Root登录。 - **自动化加固**:部分工具支持生成修复脚本(需谨慎验证)。 #### 7. **重新扫描验证** - 修复后需重新执行扫描,确保问题已解决。引用[2]中提到:“漏洞修复后,建议重新扫描一次”。 #### 8. **生成合规报告** - 最终报告可用于审计或合规性证明,例如满足等保2.0、ISO 27001等要求。 --- ### 工具对比与注意事项 | 工具类型 | 示例 | 适用场景 | |----------------|----------------------|----------------------------| | 开源工具 | OpenSCAP、Lynis | 企业内部自检、成本敏感场景 | | 商业工具 | Nessus、Qualys | 多资产扫描、深度合规分析 | | 云平台集成工具 | AWS Inspector、阿里云安全中心 | 云服务器自动化基线检查 | **注意事项**: - 扫描可能影响服务器性能,建议在业务低峰期执行。 - 高危操作(如密码爆破检测)需获得授权。 ---
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

杰哥的技术杂货铺

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值