阿里云服务器基线修复

1、设置用户权限配置文件的权限

执行以下5条命令:

 chown root:root /etc/passwd /etc/shadow /etc/group /etc/gshadow
 chmod 0644 /etc/group 
 chmod 0644 /etc/passwd 
 chmod 0400 /etc/shadow 
 chmod 0400 /etc/gshadow

注解:

/etc/group 用户群组信息文件

/etc/passwd 用户信息文件

/etc/shadow 用户密码文件

/etc/gshadow 群组密码文件


2、禁止SSH空密码用户登录

在/etc/ssh/sshd_config中取消PermitEmptyPasswords no注释符号#

注解:

/etc/ssh/sshd_config ssh远程登录配置文件

PermitEmptyPasswords no 参数含义:不允许空密码登录


3、设置密码失效时间

使用非密码登陆方式如密钥对,请忽略此项。在 /etc/login.defs 中将 PASS_MAX_DAYS 参数设置为 60-180之间,如 PASS_MAX_DAYS 90。需同时执行命令设置root密码失效时间: chage --maxdays 90 root

注解:

Linux下对于新添加的用户,用户密码过期时间是从 /etc/login.defs 中 PASS_MAX_DAYS 提取的,普通系统默认就是99999,
而有些安全操作系统是90。更改此处,只是让新建的用户默认密码过期时间变化,已有用户密码过期时间仍然不变。

chage --maxdays 90 root 设置root账号的密码有效期限为90天

或:chage -M 90 root

-M:密码保持有效的最大天数

-m:密码可更改的最小天数。为零时代表任何时候都可以更改密码。


4、设置密码修改最小间隔时间

在 /etc/login.defs 中将 PASS_MIN_DAYS 参数设置为5-14之间,建议为7:
PASS_MIN_DAYS 7 需同时执行命令为root用户设置:
chage --mindays 7 root

注解:

PASS_MAX_DAYS 90 #密码最长过期天数

PASS_MIN_DAYS 80 #密码最小过期天数

chage --mindays 7 root 设置root密码最少七天才可更改

或 chage -m 7 root


5、确保SSH LogLevel设置为INFO

编辑 /etc/ssh/sshd_config 文件以按如下方式设置参数(取消注释):
LogLevel INFO

注解:

LogLevel INFO:设置记录sshd日志消息的级别为INFO


6、SSHD强制使用V2安全协议

编辑 /etc/ssh/sshd_config 文件以按如下方式设置参数: Protocol 2

注解:

Protocol 2:设置协议版本为SSH2,centos7默认第一版本已拒绝,因SSH1存在漏洞与缺陷


7、设置SSH空闲超时退出时间

编辑/etc/ssh/sshd_config,将ClientAliveInterval 设置为300到900,即5-15分钟,将ClientAliveCountMax设置为0。

ClientAliveInterval 900 
ClientAliveCountMax 0

注解:

ClientAliveInterval 900 表示每隔300秒向客户端发送一个“空包”,以保持于客户端的连接。 此选项仅适用于协议版本2。

ClientAliveCountMax 0 表示总共发送多少次“空包”,之后断开它们之间的连接

上面两行配置的意思为:设置的空闲超时时间间隔是900秒,ssh会话将被终止,甚至发送都不会保持活动包

<think>好的,我现在需要回答用户关于服务器漏洞基线扫描的详细步骤的问题。首先,我需要回顾用户提供的引用内容,找到相关的信息来支持回答。用户提到了引用[3]、[4]、[5],这些涉及到CIS基线、OpenSCAP工具、安全评估流程等。 首先,用户想知道具体的操作流程和步骤。我需要从引用中提取关键点。引用[3]提到了在RHEL 8上安装OpenSCAP组件,运行扫描命令,生成报告。引用[4]和[5]则提到了基线检查作为安全评估的一部分,涉及配置检查、合规标准等。 接下来,我需要将这些信息整理成步骤。可能需要包括准备工作、安装工具、配置扫描策略、执行扫描、分析结果、修复漏洞、重新扫描等环节。每个步骤需要详细说明,例如安装哪些软件包,如何运行命令,如何处理结果。 还要注意用户提到的基线扫描可能涉及CIS标准,所以需要明确提到选择适当的基线配置文件,比如CIS的Benchmark。同时,生成报告的不同格式(HTML、PDF)也是重要步骤,方便用户查看。 另外,引用[2]提到扫描后的扣分机制,虽然主要针对网站扫描,但可能对服务器扫描也有参考价值,比如修复漏洞后重新扫描的重要性。需要强调修复后的验证步骤。 需要确保回答结构清晰,分步骤说明,并且引用相关引用内容作为支持。例如,在安装OpenSCAP时引用[3],在基线检查部分引用[4]和[5]。 最后,生成相关问题,可能涉及工具选择、合规标准、报告分析、自动化等方面,确保问题与主题相关,帮助用户进一步了解。</think>### 服务器漏洞基线扫描的详细步骤 #### 1. **准备工作** - **明确目标范围**:确定需要扫描的服务器IP地址、端口、服务类型(如Web服务、数据库等)[^4]。 - **选择合规标准**:根据需求选择基线检查标准(如CIS Benchmark、NIST、ISO 27001等),例如引用[3]中提到的RHEL 8 CIS安全合规基线。 #### 2. **安装扫描工具** - 使用OpenSCAP等开源工具,安装所需组件: ```bash # RHEL/CentOS系统示例(引用[3]) $ yum install openscap-scanner scap-security-guide scap-security-guide-doc ``` #### 3. **配置扫描策略** - 选择对应的SCAP(Security Content Automation Protocol)配置文件。例如,CIS基线文件通常位于: ```bash /usr/share/xml/scap/ssg/content/ssg-rhel8-ds.xml ``` - 通过命令指定配置文件: ```bash $ oscap xccdf eval --profile cis_server_l1 --results scan_results.xml --report report.html /usr/share/xml/scap/ssg/content/ssg-rhel8-ds.xml ``` - `--profile`:选择合规基线等级(如`cis_server_l1`表示CIS Level 1标准)[^3]。 #### 4. **执行扫描** - 运行扫描命令,覆盖目标服务器的配置项(如密码策略、文件权限、服务启停等): ```bash $ oscap ssh --user root --host 192.168.1.100 xccdf eval --fetch-remote-resources --profile cis_server_l1 /usr/share/xml/scap/ssg/content/ssg-rhel8-ds.xml ``` - 支持远程扫描(需SSH权限)或本地扫描[^3][^5]。 #### 5. **分析扫描结果** - **查看报告**:生成的报告(如HTML或PDF)会列出不符合基线的项,按风险等级分类(如高危、中危、低危)[^2]。 - **定位问题**:例如: - 未启用防火墙 - 密码复杂度策略未配置 - 冗余服务未关闭 #### 6. **修复漏洞与基线偏差** - **手动修复**:根据报告中的修复建议调整配置,例如修改`/etc/ssh/sshd_config`限制Root登录。 - **自动化加固**:部分工具支持生成修复脚本(需谨慎验证)。 #### 7. **重新扫描验证** - 修复后需重新执行扫描,确保问题已解决。引用[2]中提到:“漏洞修复后,建议重新扫描一次”。 #### 8. **生成合规报告** - 最终报告可用于审计或合规性证明,例如满足等保2.0、ISO 27001等要求。 --- ### 工具对比与注意事项 | 工具类型 | 示例 | 适用场景 | |----------------|----------------------|----------------------------| | 开源工具 | OpenSCAP、Lynis | 企业内部自检、成本敏感场景 | | 商业工具 | Nessus、Qualys | 多资产扫描、深度合规分析 | | 云平台集成工具 | AWS Inspector、阿里云安全中心 | 云服务器自动化基线检查 | **注意事项**: - 扫描可能影响服务器性能,建议在业务低峰期执行。 - 高危操作(如密码爆破检测)需获得授权。 ---
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

杰哥的技术杂货铺

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值