Linux常用安全基线配置汇总

今天汇总一下常用的安全基线配置，加强你们企业主机安全防护

1、root账户远程登录限制

如果配置这个，至少需要有一个可登录的普通用户

vi /etc/ssh/sshd_config

将PermitRootLogin yes改为PermitRootLogin no

systemctl restart sshd

2、设置口令生存周期

最大口令过期时间设置为小于或等于90天；

# 修改前备份
cp /etc/login.defs /etc/login.defs.bak

# 修改配置
vim /etc/login.defs
# 修改下面的内容
PASS_MAX_DAYS  90  # 密码最大过期时间，不大于90则合规
PASS_MIN_DAYS  7   # 口令更改最小间隔天数应大于等于7
PASS_WARN_AGE  7   # 口令过期警告提前天数

3、设置密码复杂度策略

一般需要包括数字大小写，八位以上

# 修改前备份
cp /etc/pam.d/system-auth /etc/pam.d/system-auth.bak

# 修改配置
vim /etc/pam.d/system-auth

# 没有则新增
password requisite  pam_cracklib.so

# 没有则新增
password    requisite     pam_cracklib.so try_first_pass retry=3 minlen=8 dcredit=-1 ucredit=-1 ocredit=-1 lcredit=-1 

配置参数说明：
# 配置说明
retry= 3       # 在返回失败前允许3次尝试。
minlen = 8    # 密码必须是14个字符或更多
dcredit = - 1  # 提供至少1位数字
ucredit = - 1  # 提供至少一个大写字符
ocredit = - 1  # 提供至少一个特殊字符
lcredit = - 1  # 提供至少一个小写字符

4、配置账户认证失败次数限制

vim /etc/pam.d/system-auth

# 增加如下内容：输入错误5次，锁定180s
auth        required      pam_tally2.so deny=5 onerr=fail no_magic_root unlock_time=180 

account     required      pam_tally2.so

5、禁止wheel组之外的用户su为root

只允许wheel组的用户才能su为root则合规，禁止任何人切换root；

# 修改前备份
cp /etc/pam.d/su /etc/pam.d/su_bak
vim /etc/pam.d/su

# 添加
auth            sufficient      pam_rootok.so
auth            required        pam_wheel.so use_uid

# 将允许su的用户加入wheel组
usermod -G wheel $username

6、历史命令设置

保证bash shell保存少量的（或不保存）命令，保存较少的命令条数，减少安全隐患，并设置时间戳；

vim /etc/profile
# 修改下面配置，没有则新增
# 设置历史命令时间戳
export HISTTIMEFORMAT="%F %T "
# 
HISTFILESIZE=5
HISTSIZE=50  # 保留历史命令条数，默认是1000条

7、重要文件权限配置

chmod 644 /etc/passwd
chmod 644 /etc/group
chmod 400 /etc/shadow
chmod 400 /etc/gshadow
chmod 644 /etc/services
chmod 600 /etc/security
chmod 600 /etc/grub.conf
chmod 600 /boot/grub/grub.conf

8、日志审计

确保rsyslog服务已启用，记录日志用于审计

systemctl enable rsyslog
systemctl start rsyslog

安全基线配置有很多，不同的等保级别要求的基线不一样。以上都是比较常用的基线配置，在企业中，还需要根据安全部门提供的比较详细的基线来配置。

【温馨提示】做安全基线时已经要做好文件的备份，如果条件允许，先在测试环境上操作，避免修改后无法登录系统。