阿里雲Linux系統基線檢查優化

一、用戶權限配置文件的權限優化

描述：設置用戶權限配置文件的權限

操做時建議作好記錄或備份
chown root:root /etc/passwd /etc/shadow /etc/group /etc/gshadow
chmod 0644 /etc/group 
chmod 0644 /etc/passwd 
chmod 0400 /etc/shadow 
chmod 0400 /etc/gshadow
cat /etc/passwd | awk -F: '($3 == 0) { print $1 }'|grep -v '^root$' #查看root的id=0的惟一性

二、ssh服務優化

編輯/etc/ssh/sshd_config文件，修改如下參數：
LogLevel INFO   #確保SSH LogLevel設置爲INFO,記錄登陸和註銷活動
#將ClientAliveInterval 設置爲300到900，即5-15分鐘，將ClientAliveCountMax設置爲0。
ClientAliveInterval 900     #設置SSH空閒超時退出時間,可下降未受權用戶訪問其餘用戶ssh會話的風險
ClientAliveCountMax 0       
Protocol 2                 #SSHD強制使用V2安全協議
MaxAuthTries 4          #設置較低的Max AuthTrimes參數將下降SSH服務器被暴力攻擊成功的風險。設置最大密碼                        嘗試失敗次數3-6，建議爲4
PermitEmptyPasswords no     #禁止SSH空密碼用戶登陸

三、身份鑑別優化

編輯/etc/login.defs文件，修改如下參數：

PASS_MIN_DAYS 7     #設置密碼修改最小間隔時間，限制密碼更改過於頻繁
PASS_MAX_DAYS 90    #設置密碼失效時間 

#參數1註解：在 /etc/login.defs 中將 PASS_MIN_DAYS 參數設置爲7-14之間,建議爲7： PASS_MIN_DAYS 7 需同時執行命令爲root用戶設置： chage --mindays 7 root

#參數2註解：設置密碼失效時間，強制按期修改密碼，減小密碼被泄漏和猜想風險，使用非密碼登錄方式(如密鑰對)請忽略此項。
#使用非密碼登錄方式如密鑰對，請忽略此項。在 /etc/login.defs 中將 PASS_MAX_DAYS 參數設置爲 60-180之間，如 PASS_MAX_DAYS 90。需同時執行命令設置root密碼失效時間： chage --maxdays 90 root。