阿里云Linux系统基线检查优化

一、用户权限配置文件的权限优化

描述：设置用户权限配置文件的权限

操做时建议作好记录或备份
chown root:root /etc/passwd /etc/shadow /etc/group /etc/gshadow
chmod 0644 /etc/group 
chmod 0644 /etc/passwd 
chmod 0400 /etc/shadow 
chmod 0400 /etc/gshadow
cat /etc/passwd | awk -F: '($3 == 0) { print $1 }'|grep -v '^root$' #查看root的id=0的惟一性

二、ssh服务优化

编辑/etc/ssh/sshd_config文件，修改如下参数：
LogLevel INFO   #确保SSH LogLevel设置为INFO,记录登陆和注销活动
#将ClientAliveInterval 设置为300到900，即5-15分钟，将ClientAliveCountMax设置为0。
ClientAliveInterval 900     #设置SSH空闲超时退出时间,可下降未受权用户访问其余用户ssh会话的风险
ClientAliveCountMax 0       
Protocol 2                 #SSHD强制使用V2安全协议
MaxAuthTries 4          #设置较低的Max AuthTrimes参数将下降SSH服务器被暴力攻击成功的风险。设置最大密码                        尝试失败次数3-6，建议为4
PermitEmptyPasswords no     #禁止SSH空密码用户登陆

三、身份鉴别优化

编辑/etc/login.defs文件，修改如下参数：

PASS_MIN_DAYS 7     #设置密码修改最小间隔时间，限制密码更改过于频繁
PASS_MAX_DAYS 90    #设置密码失效时间 

#参数1注解：在 /etc/login.defs 中将 PASS_MIN_DAYS 参数设置为7-14之间,建议为7： PASS_MIN_DAYS 7 需同时执行命令为root用户设置： chage --mindays 7 root

#参数2注解：设置密码失效时间，强制按期修改密码，减小密码被泄漏和猜想风险，使用非密码登录方式(如密钥对)请忽略此项。
#使用非密码登录方式如密钥对，请忽略此项。在 /etc/login.defs 中将 PASS_MAX_DAYS 参数设置为 60-180之间，如 PASS_MAX_DAYS 90。需同时执行命令设置root密码失效时间： chage --maxdays 90 root。