服务器国际基线等保二级等保三级服务器加固记录

最新推荐文章于 2025-02-28 02:22:03 发布

原创

最新推荐文章于 2025-02-28 02:22:03 发布 · 831 阅读

6 ·

CC 4.0 BY-SA版权

文章标签：

#服务器 #linux #运维

本文详述了服务器加固的步骤，涵盖等保二级和三级的要求，包括密码尝试失败锁定、设置/dev/shm分区权限、文件系统完整性检查、禁止IPv6等功能。此外，还涉及SSH安全配置、审计日志管理等多个方面，旨在提升服务器安全性与合规性。

摘要生成于 C知道，由 DeepSeek-R1 满血版支持，前往体验 >

--------------------------------------内容已经在下面请各位享用-------------------------------------------

国际基线常见服务器加固常见办法

确保配置了密码尝试失败的锁定

描述

连续n次失败登录尝试后锁定用户。

处理建议（处理时请先做备份）

编辑/etc/pam.d/password-auth 和/etc/pam.d/system-auth 文件，以符合本地站点策略： auth required pam_faillock.so preauth audit silent deny=5 unlock_time=900 auth [success=1 default=bad] pam_unix.so auth [default=die] pam_faillock.so authfail audit deny=5 unlock_time=900 auth sufficient pam_faillock.so authsucc audit deny=5 unlock_time=900

确保在/dev/shm分区上设置noexec选项

描述

noexec挂载选项指定文件系统不能包含可执行二进制文件。

处理建议（处理时请先做备份）

编辑/etc/fstab文件并将noexec添加到/dev/shm分区的第四个字段运行以下命令重新挂载/dev/shm： #mount -o remount，noexec /dev/shm

确保定期检查文件系统完整性

描述

需要定期检查文件系统的完整性以检测文件系统的更改。

处理建议（处理时请先做备份）

运行以下命令： # crontab -u root -e 将以下行添加到crontab中： 0 5 * * * /usr/sbin/aide --check

确保配置了bootloader配置的权限

描述

grub配置文件包含有关引导设置的信息以及用于解锁引导选项的密码。

处理建议（处理时请先做备份）

运行以下命令来设置对grub配置的权限： # chown root:root /boot/grub2/grub.cfg # chmod og-rwx /boot/grub2/grub.cfg

确保核心转储受到限制

描述

核心转储是可执行程序的内存。通常用于确定程序为何中止。它还可以用于从核心文件中收集机密信息。

处理建议（处理时请先做备份）

将以下行添加到/etc/security/limits.conf或/etc/security/limits.d/*文件中： * hard core 0 在/etc/sysctl.conf或/etc/sysctl.d/*文件中设置以下参数： fs.suid_dumpable = 0 运行以下命令来设置活动内核参数： # sysctl -w fs.suid_dumpable=0

确保启用了地址空间布局随机化（ASLR）

描述

地址空间布局随机化（ASLR）是一种漏洞利用缓解技术，它可以随机排列进程的关键数据区域的地址空间。

处理建议（处理时请先做备份）

在/etc/sysctl.conf或/etc/sysctl.d/*文件中设置以下参数： kernel.randomize_va_space = 2 运行以下命令来设置内核参数： # sysctl -w kernel.randomize_va_space=2

确保禁用了数据包重定向发送

描述

ICMP重定向用于将路由信息发送到其他主机。由于主机本身不充当路由器（在仅主机配置中），因此无需发送重定向。

处理建议（处理时请先做备份）

在/etc/sysctl.conf或/etc/sysctl.d/*文件中设置以下参数： net.ipv4.conf.all.send_redirects = 0 net.ipv4.conf.default.send_redirects = 0 运行以下命令来设置活动的内核参数： # sysctl -w net.ipv4.conf.all.send_redirects=0 # sysctl -w net.ipv4.conf.default.send_redirects=0 # sysctl -w net.ipv4.route.flush=1

确保不接受源路由数据包

描述

在网络中，源路由允许发送者部分或完全指定通过网络的路由数据包。相反，非源路由数据包将通过网络中的路由器确定的路径。

处理建议（处理时请先做备份）

在/etc/sysctl.conf或/etc/sysctl.d/*文件中设置以下参数： net.ipv4.conf.all.accept_source_route = 0 net.ipv4.conf.default.accept_source_route = 0 运行以下命令来设置活动的内核参数： # sysctl -w net.ipv4.conf.all.accept_source_route=0 # sysctl -w net.ipv4.conf.default.accept_source_route=0 # sysctl -w net.ipv4.route.flush=1

确保不接受ICMP重定向

描述

ICMP重定向消息是传递路由信息并告诉主机（充当路由器）通过备用路径发送数据包的数据包。这是一种允许外部路由设备更新系统路由表的方法。通过设置net.ipv4.conf.all.accept_redirects为0，系统将不接受任何ICMP重定向消息，因此，不允许外部人员更新系统的路由表。

处理建议（处理时请先做备份）

在/etc/sysctl.conf或/etc/sysctl.d/*文件中设置以下参数： net.ipv4.conf.all.accept_redirects = 0 net.ipv4.conf.default.accept_redirects = 0 运行以下命令来设置活动的内核参数： # sysctl -w net.ipv4.conf.all.accept_redirects=0 # sysctl -w net.ipv4.conf.default.accept_redirects=0 # sysctl -w net.ipv4.route.flush=1

确保不接受secure ICMP重定向

描述

secure ICMP重定向与ICMP重定向相同，只是它们来自默认网关列表上列出的网关。

处理建议（处理时请先做备份）

在/etc/sysctl.conf或/etc/sysctl.d/*文件中设置以下参数： net.ipv4.conf.all.secure_redirects = 0 net.ipv4.conf.default.secure_redirects = 0 运行以下命令来设置活动的内核参数： # sysctl -w net.ipv4.conf.all.secure_redirects=0 # sysctl -w net.ipv4.conf.default.secure_redire