阿里云SSH基线检查内容

最新推荐文章于 2024-07-11 16:19:21 发布
原创 最新推荐文章于 2024-07-11 16:19:21 发布 · 1.1k 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#阿里云 #Linux

阿里云的安全基线检查

如果不配置这个,那么安骑士一直就会报警。
配置内容摘取如下:

检查项目 : 设置密码失效时间
加固建议: 在 /etc/login.defs 中将 PASS_MAX_DAYS 参数设置为 60-180之间,如 PASS_MAX_DAYS 90。需同时执行命令设置root密码失效时间: $ chage --maxdays 90 root。
检查项目 : 设置密码修改最小间隔时间
加固建议: 在 /etc/login.defs 中将 PASS_MIN_DAYS 参数设置为5-14之间,建议为7:
PASS_MIN_DAYS 7 需同时执行命令为root用户设置:
$ chage --mindays 7 root
检查项目 : 禁止SSH空密码用户登录

加固建议: 在/etc/ssh/sshd_config中取消PermitEmptyPasswords no注释符号#
检查项目 : 确保SSH MaxAuthTries设置为3到6之间
加固建议: 在/etc/ssh/sshd_config中取消MaxAuthTries注释符号#,设置最大密码尝试失败次数3-6,建议为5:MaxAuthTries 5
检查项目 : SSHD强制使用V2安全协议
加固建议: 编辑 /etc/ssh/sshd_config 文件以按如下方式设置参数: Protocol 2
检查项目 : 设置SSH空闲超时退出时间
加固建议: 编辑/etc/ssh/sshd_config,将ClientAliveInterval 设置为300到900,即5-15分钟,将ClientAliveCountMax设置为0。
ClientAliveInterval 300
ClientAliveCountMax 0
检查项目 : 确保SSH LogLevel设置为INFO
加固建议: 编辑 /etc/ssh/sshd_config 文件以按如下方式设置参数(取消注释):
LogLevel INFO
检查项目 : 设置用户权限配置文件的权限
加固建议: 执行以下5条命令
$ chown root:root /etc/passwd /etc/shadow /etc/group /etc/gshadow
$ chmod 0644 /etc/group
$ chmod 0644 /etc/passwd
$ chmod 0400 /etc/shadow
$ chmod 0400 /etc/gshadow

wenwst
关注
基线管理之Centos安全配置
muzi201的博客
12-13 2833
基线管理之Centos安全配置
安全运维中基线检查的自动化之ansible工具巧用
xiaoi123的博客
10-22 1740
i春秋作家:yanzm 原文来自:安全运维中基线检查的自动化之ansible工具巧用 前几周斗哥分享了基线检查获取数据的脚本,但是在面对上百台的服务器,每台服务器上都跑一遍脚本那工作量可想而知,而且都是重复性的操作,于是斗哥思考能不能找到一种方法来实现自动下发脚本,批量执行,并且能取回执行的结果。对比参考学习某些开源的平台都有这么一个特点就是需要安装客户端(说白了就是类似后门木马的插件),客户...
CentOS Linux7 安全基线检查 明细
04-03
CentOS Linux7 安全基线检查 1.设置用户权限配置文件的权限 描述:确保SSH LogLevel设置为INFO,记录登录和注销活动 方案: 执行以下5条命令: chown root:root /etc/passwd /etc/shadow /etc/group /etc/gshadow chmod 0644 /etc/group chmod 0644 /etc/passwd chmod 0400 /etc/shadow chmod 0400 /etc/gshadow
Centos操作系统安全基线检查
weixin_50877409的博客
07-08 2486
Centos操作系统安全基线
04-阿里云标准-Ubuntu安全基线检查
03-25
本文旨在介绍阿里云标准-Ubuntu 安全基线检查的相关知识点,涵盖了密码安全、权限配置、SSH 配置等方面的安全检查项。 一、密码安全 1. 设置密码失效时间:设置密码失效时间是确保系统安全的重要步骤。可以在 /etc...
02-阿里云标准-CentOS Linux 6安全基线检查
03-25
阿里云标准-CentOS Linux 6安全基线检查 在本文中,我们将详细介绍阿里云标准-CentOS Linux 6安全基线检查的七个重要安全配置项。 一、设置密码失效时间 在Linux系统中,密码失效时间是非常重要的安全设置之一。...
阿里云服务器基线修复
J_Lee
03-08 1676
1、设置用户权限配置文件的权限 执行以下5条命令: chown root:root /etc/passwd /etc/shadow /etc/group /etc/gshadow chmod 0644 /etc/group chmod 0644 /etc/passwd chmod 0400 /etc/shadow chmod 0400 /etc/gshadow 注解: /etc/group 用户群组信息文件 /etc/passwd 用户信息文件 /etc/shadow 用户密码文件
安全基线检查平台之Centos7
Zer0ne安全研究
12-26 1804
0x00 前言# 最近在做安全基线检查相关的,网上有一些代码比较零散;也有一些比较完整的项目,比如owasp中的安全基线检查项目,但是收费;还有一些开源且完整的,比如lynis,但是不符合我的要求。 我的要求如下: 能够对操作系统、中间件和数据库进行基线检查 脚本在系统上进行基线检查后的结果或者收集到的数据能够传输到一个服务端 服务端要做可视化展示 最终的效果是什...
CentOS7或RHEL7的安全基线检查脚本
05-13
分为以下几个模块 access_authentication system_maintenance services network_configuration logging_and_auditing 亲测可用
linux7安全基线
11-13
安全基线文档,作为加固效果,加固操作的参考文档阅读
CentOS7基线检查工具
02-27
等级保护,CentOS 7 基线检查工具,包含身份鉴别,访问控制,安全审计等信息集中采集。
离线工具检测(安全基线检查工具).rar
07-23
针对操作系统、数据库、网络设备、虚拟化设备、应用程序的安全检测工具
基线加固】Centos7等保二级基线加固(主机安全基线
tigerman20201的博客
11-17 1707
1、 确保配置了bootloader配置的权限 chown root:root /boot/grub2/grub.cfg chmod og-rwx /boot/grub2/grub.cfg 复制 2、 确保设置了引导程序密码 使用以下命令创建加密的密码grub2-setpassword: grub2-setpassword Enter password: Confirm password: 复制 3、 确保单用户模式需要身份验证 编辑/usr/lib/systemd/system/res
CentOS停服,CentOS7安全加固前基线检查,针对薄弱环节针对性加固
abc15138565332的博客
07-11 604
检测密码设置策略的口令生存期是否符合规范检测密码设置策略的口令更改最小间隔天数是否符合规范检测密码设置策略的口令最小长度是否符合规范检测密码设置策略的口令过期前警告天数是否符合规范。
阿里云安全记录--基线检查、漏洞扫描,&CIS安全基线文档
weixin_30800807的博客
09-19 2341
阿里云安全基线 记录如下 不定时更新 0x0 0x1 --Centos7 基线检查190621 0x2 --Centos6 基线检查190627 0x3 --Ubuntu安全基线检查190621 0x3.5 --SSH登录安全策略、账户-密码 0x4 --Windows基线检查(按照CIS-Linux Windows 2008 R2最新基线标准进行系统层面基线检测) ...
数据库基线检查工具DB_BASELINE
weixin_30772261的博客
11-07 653
介绍 主要是没找到一款比较好的数据库基线检查工具 索性自己写了一个 https://github.com/wstart/DB_BaseLine DB_BASE 使用说明 帮助信息 python db_baseline.py -h DB_BASELINE 检查规范 根据查阅的资料和文档,基线检查主要分为以下四类 账号权限 检查各个权限账号是否有过多的...
基线检查工具_“千诚护网”系列安全服务方案之“安全基线检查服务”
weixin_39996798的博客
12-15 2222
概念安全基线检查服务是指为满足安全规范要求,安全配置必需达到的标准,为明确网络上的相关设备与系统(包括操作系统、网络设备、数据库、中间件在内的所有类型的设备)达到最基本的防护能力要求而制定的一系列基准。通过检查各安全配置参数是否符合标准来度量。主要包括了账号配置安全、口令配置安全、授权配置、日志配置、IP 通信配置等方面内容,这些安全配置直接反映了系统自身的安全脆弱性。重要性安全配置基线...
mysql安全基线检查工具_数据库基线检查工具DB_BASELINE
weixin_36116139的博客
02-03 1129
介绍主要是没找到一款比较好的数据库基线检查工具DB_BASE 使用说明帮助信息 python db_baseline.py -hDB_BASELINE 检查规范根据查阅的资料和文档,基线检查主要分为以下四类账号权限检查各个权限账号是否有过多的不必要的权限,检查数据库的文件的权限,是否只归属数据库账户所有,其他程序是否可读可写,网络连接主要用于检查数据库的端口,对外的开放的程度,连接的安全性等等危险...
阿里云ssh access denied
最新发布
06-23
### 阿里云SSH访问被拒绝的解决方案 在解决阿里云SSH访问被拒绝的问题时,可以从以下几个方面进行排查和修复。以下是详细的分析与解决方案: #### 1. 检查安全组规则 确保阿里云的安全组规则中允许SSH(端口22)的入站流量。如果更新了系统版本或进行了其他操作,可能会导致安全组规则失效。可以通过阿里云控制台检查并重新配置安全组规则[^1]。 #### 2. 检查SSH服务状态 进入阿里云救援模式,检查SSH服务是否正常运行。如果发现SSH服务未启动或无法启动,可以尝试以下命令重启SSH服务: ```bash sudo systemctl restart sshd ``` 如果重启失败,可能需要进一步检查日志文件以定位问题: ```bash sudo journalctl -xe ``` #### 3. 关闭SELinux和Swap分区 根据引用内容,关闭SELinux和禁用Swap分区可能是解决问题的关键步骤之一。可以通过以下命令实现: - 禁用SELinux: ```bash sudo setenforce 0 sudo sed -i 's/^SELINUX=.*/SELINUX=disabled/' /etc/selinux/config ``` - 禁用Swap分区: ```bash sudo swapoff -a sudo sed -i '/\s\/dev\/mapper\/ubuntu--vg-swap_1\s swap\s/ s/^/#/' /etc/fstab ``` 完成上述操作后,建议重启服务器以确保更改生效[^2]。 #### 4. 检查用户名和密码 如果以上步骤均已完成但仍然无法连接,可能是登录凭据错误。请确认使用的用户名和密码是否正确。对于Ubuntu系统,默认用户名为`ubuntu`,而非其他自定义名称。例如,在Putty或其他SSH客户端中,应使用如下格式登录: ```bash ssh ubuntu@your_server_ip ``` 此外,如果启用了密钥认证,请确保本地拥有正确的私钥文件,并正确配置了权限[^3]。 #### 5. 检查SSH配置文件 有时SSH配置文件可能存在错误,导致无法正常连接。可以检查并修改`/etc/ssh/sshd_config`文件中的相关设置: - 确保`PermitRootLogin`设置为`yes`或`prohibit-password`(视需求而定)。 - 确保`PasswordAuthentication`设置为`yes`(如果需要密码登录)。 - 保存文件后重启SSH服务: ```bash sudo systemctl restart sshd ``` #### 6. 检查网络连通性 尽管远程可以ping通服务器,但仍需进一步验证端口22是否开放。可以使用以下命令测试: ```bash telnet your_server_ip 22 ``` 如果连接失败,说明端口22可能被防火墙或其他规则阻止。此时需要检查服务器本地防火墙规则: ```bash sudo ufw status ``` 如果防火墙启用且未开放SSH端口,可以添加规则: ```bash sudo ufw allow 22/tcp sudo ufw reload ``` ### 注意事项 - 如果问题仍未解决,可以尝试通过阿里云控制台的VNC功能直接登录服务器进行调试。 - 确保所有更改均备份原始配置文件,以便必要时恢复。 ---
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值