编号    加固项    "风险
等级"    加固原理/Rationale    审计方法/Audit    期望结果/Expect Results    加固方法/Remediation
1 OpenSSH加固配置                        
1.1 OpenSSH加固配置                        
1.1.1    SSH使用的版本    H    "Open SSH V2版本在安全性能、方便性上有所提高，默认使用V2版本。
如果用户根据实际需要采用V1版本，可登录主机将数值修改为“1”。
"    查看/etc/ssh/sshd_config文件    Protocol被设置为“2”    将Protocol设置为2
1.1.2    SSH密码算法    H    "基于SSH加密传输的安全性需求，请使用以下加密算法：AES128，AES256，AES192,允许同时配置多个算法，以逗号隔开。
"    查看/etc/ssh/sshd_config文件    Ciphers被设置为“aes128-ctr,aes192-ctr,aes256-ctr”(x86系统下）或“aes128-ctr,aes192-ctr,aes256-ctr,chacha20-poly1305@openssh.com,aes128-gcm@openssh.com,aes256-gcm@openssh.com”（arm系统下）    将Ciphers配置项设置为“aes128-ctr,aes192-ctr,aes256-ctr”(x86系统下）或“aes128-ctr,aes192-ctr,aes256-ctr,chacha20-poly1305@openssh.com,aes128-gcm@openssh.com,aes256-gcm@openssh.com”（arm系统下）
1.1.3    SSH认证方式    H    允许公钥认证。    查看/etc/ssh/sshd_config文件    PubkeyAuthentication被设置为“yes”    将PubkeyAuthentication设置为“yes”
1.1.4    SSH认证方式    H    允许使用RSA算法进行安全验证。    查看/etc/ssh/sshd_config文件    RSAAuthentication被设置为“yes”（仅X86系统）    将RSAAuthentication设置为“yes”（仅X86系统）
1.1.5    SSH认证方式    H    认证时不需要使用“rhosts”和“shosts”文件。    查看/etc/ssh/sshd_config文件    IgnoreRhosts被设置为“yes”    将IgnoreRhosts设置为“yes”
1.1.6    SSH认证方式    H    不允许用rhosts或“/etc/hosts.equiv”加上RSA进行安全验证。    查看/etc/ssh/sshd_config文件    RhostsRSAAuthentication被设置为“no”（仅X86系统）    将RhostsRSAAuthentication设置为“no”（仅X86系统）
1.1.7    SSH认证方式    H    需要通过密码认证（需要手动在键盘输入密码认证）    查看/etc/ssh/sshd_config文件    PasswordAuthentication被设置为“yes”    将PasswordAuthentication设置为“yes”
1.1.8    SSH访问所有权    H    设置SSH在接收登录请求之前不检查用户目录和rhosts文件的权限和所有权    查看/etc/ssh/sshd_config文件    StrictModes被设置为“yes”    将StrictModes设置为“yes”
1.1.9    SSH登录前显示提示信息    H    设置SSH登录前显示提示信息。默认的提示信息为“Authorized users only. All activity may be monitored and reported.”。    查看/etc/ssh/sshd_config文件    Banner被设置为“/etc/issue.net”    将Banner设置为“/etc/issue.net”
1.1.10    SSH日志    H    "在记录来自sshd的消息的时候，是否给出“facility　code”。
 KERN：内核信息。
 DAEMON：与xinetd相关的信息。
 USER：用户程序产生的日志信息。
 AUTH：认证信息。
 MAIL：邮件程序产生的日志信息。
"    查看/etc/ssh/sshd_config文件    SyslogFacility被设置为“AUTH”    将SyslogFacility设置为“AUTH”
1.1.11    SSH日志    H    记录日志提供的详细程度，该值从低到高顺序是：QUIET、FATAL、ERROR、INFO、VERBOSE、DEBUG。    查看/etc/ssh/sshd_config文件    LogLevel被设置为“VERBOSE”    将LogLevel设置为“VERBOSE”
1.1.12    禁止空密码用户登录    H    空密码用户是指口令为空的用户，基于安全考虑禁止空密码用户登录系统。    查看/etc/ssh/sshd_config文件    PermitEmptyPasswords被设置为“no”    将PermitEmptyPasswords设置为“no”
1.1.13    PAM登录认证    H    使用PAM模块认证。    查看/etc/ssh/sshd_config文件    UsePAM被设置为“yes”    将UsePAM设置为“yes”
1.1.14    禁止root用户直接SSH登录系统    H    允许root用户直接登录系统，攻击者可能会暴力破解root密码或绕过认证直接登入系统，获取系统超级权限，因此禁止root用户直接SSH登录系统。    查看/etc/ssh/sshd_config文件    PermitRootLogin被设置为“no”    将PermitRootLogin设置为“no”
1.1.15    允许external_om和internal_base平面网段访问22端口    H    不允许除external_om和internal_base平面网段的其他网段访问22端口    执行命令：iptables-save | grep ssh-INPUT    返回结果中存在external_om和internal_base平面网段    无
2 系统访问安全配置                        
2.1 系统访问安全配置                        
2.1.1    禁止通过CTRL＋ALT＋DEL重启系统    H    禁止通过"ALT+CTRL+DEL"重启系统，防止机器遭受非授权的人为的重启     查看/etc/systemd/system/ctrl-alt-del.target和/usr/lib/systemd/system/ctrl-alt-del.target    "/etc/systemd/system/ctrl-alt-del.target和
/usr/lib/systemd/system/ctrl-alt-del.target文件不存在"    "删除如下文件和链接
rm -f /etc/systemd/system/ctrl-alt-del.target
rm -f /usr/lib/systemd/system/ctrl-alt-del.target"
2.1.2    设置会话超时后系统自动退出    M    无人看管的终端容易被监听或被攻击，可能会危及系统安全。设置会话在5分钟（300秒）没有活动的情况下会话超时。当会话超时时自动退出终端，降低系统被攻击的风险    查看/etc/profile文件    文件中有: export TMOUT=300    文件中有:export TMOUT=300
2.1.3    限制命令历史记录的数量    M    Linux会自动记录用户输入过的命令，用于问题定位时查看，此处限制最多记录5000条，当超过5000条时，删除最老的记录    查看/etc/profile文件    "文件中有:
export HISTSIZE=5000 
"    "在文件中添加:
export HISTSIZE=5000 
"
2.1.4    禁用魔术键    H    禁用魔术键，避免由于直接发送命令到内核对系统造成影响，增强内核安全性    查看/etc/sysctl.d/60-uvp-security.conf文件    /etc/sysctl.d/60-uvp-security.conf中，将配置项“kernel.sysrq”设置为“=0”    /etc/sysctl.d/60-uvp-security.conf中，将配置项“kernel.sysrq”设置为“=0”
2.1.6    设置内核oops后系统重启    H    oops是指内核发生严重错误，最普遍的是引用了内存空地址。安全加固默认系统在发生该情况时重启，防止系统带病运行带来严重的影响    查看/etc/sysctl.d/60-uvp-security.conf文件    "/etc/sysctl.d/60-uvp-security.conf中，将配置项“kernel.panic_on_oops”设置为“=1”
"    /etc/sysctl.d/60-uvp-security.conf中，将配置项“kernel.panic_on_oops”设置为“=1”
3 文件及目录安全配置                        
3.1 文件及目录安全配置                        
3.1.1    只允许文件属主对本文件进行修改，禁止其他用户对该文件的修改    H    禁止其他用户删除或修改系统日志文件，保证系统日志的完整性    查看/var/log/目录下文件权限    普通用户没有这些文件的修改和执行权限    "执行如下命令。
chmod go-wx /var/log/*
"
3.1.2    设置日志目录和系统命令目录的权限    H    设置/var/log和/sbin、/usr/sbin目录权限为root用户可读写并执行，其他用户可读和可执行    查看/var/log /sbin /usr/sbin目录下文件夹的权限    /var/log /sbin /usr/sbin目录下文件夹的权限分别为755、777、555    "执行如下命令。
chmod 755 /var/log
chmod 777 /sbin
chmod 555 /usr/sbin"
3.1.3    为全局可写目录/tmp设置粘贴位    M    对于公共可写目录/tmp设置粘贴位，避免个人文件被他人修改    查看/tmp目录的权限    /tmp目录的权限信息中有“t”标识    "执行如下命令。
chmod o+t /tmp"
3.1.4    禁止非root用户读写或进入/root目录    H    禁止非root用户读写或进入/root目录    查看/root目录权限    目录权限为700    "执行如下命令。
chmod 700 /root"
3.1.5    设置口令文件权限    H    设置口令文件权限，防止普通用户读取或拷贝加密的口令文件内容。默认权限设置为000，该权限的含义是仅允许root用户进行读操作    查看目录/etc/shadow、/etc/shadow-权限    "/etc/shadow目录权限为000
/etc/shadow-目录权限为000"    "执行如下命令。
chmod 000 /etc/shadow 
chmod 000 /etc/shadow-
"
3.1.6    禁用core dump    H    core dump记录Linux系统运行错误的相关信息，甚至包含了系统的敏感信息，为了防止系统信息泄露，禁止使用core dump    查看/etc/profile文件    ulimit -c”设置为“0”    ulimit -c”设置为“0”
3.1.7    限制at命令的使用权限，禁止非root用户使用at命令    M    at命令用于创建在指定时间自动执行的任务，为避免任意用户通过at命令安排工作，造成系统易受攻击，仅指定root用户可使用该命令    查看/etc/at.deny、/etc/at.allow文件    "/etc/at.deny不存在
/etc/at.allow的所属用户组都是root，权限为400
"    "执行如下命令。
rm -f /etc/at.deny 
rm -f /etc/at.allow 
touch /etc/at.allow
chown root:root /etc/at.allow
chmod 400 /etc/at.allow
"
3.1.8    限制cron命令的使用权限，禁止非root用户使用cron命令    M    cron命令用于创建例行性任务，为避免任意用户通过cron命令安排工作，造成系统易受攻击，仅指定root用户可使用该命令    "查看/etc/cron.deny、/etc/cron.allow文件
"    "/etc/cron.deny不存在
/etc/cron.allow不存在
"    "rm -f /etc/cron.deny 
rm -f /etc/cron.allow "
3.1.9    设置守护进程的umask值    M    umask用来为新创建的文件和目录设置缺省权限，如果没有设定umask值，则生成的文件具有全局可写权限，存在一定的风险。为了提高守护进程新创建文件和目录的安全性，为其设置umask值为027    查看/etc/rc.status文件    umask被设置为“027”    将umask设置为“027”
3.1.10    设置/etc/inittab的模式和所有权    H    设置/etc/inittab的属主和群组都为root，权限为只有root用户可读和可写    查看/etc/inittab文件的权限和所属用户、组    /etc/inittab文件的权限为600，所属用户和组都是root    "执行如下命令
chown root:root /etc/inittab
chmod 600/etc/inittab"
4 帐户口令安全及认证配置                        
4.1 帐户口令安全及认证配置                        
4.1.1    锁定连续三次登录失败的用户    H    锁定连续三次登录失败的用户（包括root），5分钟（300秒）后自动解锁    查看/etc/pam.d/password-auth和/etc/pam.d/system-auth文件    "文件中有如下配置
auth required pam_faillock.so preauth audit deny=3 even_deny_root unlock_time=300
auth [default=die] pam_faillock.so authfail audit deny=3 even_deny_root unlock_time=300
auth sufficient pam_faillock.so authsucc audit deny=3 even_deny_root unlock_time=300"    "在配置文件/etc/pam.d/password-auth和/etc/pam.d/system-auth中，写入如下内容：
auth required pam_faillock.so preauth audit deny=3 even_deny_root unlock_time=300
auth [default=die] pam_faillock.so authfail audit deny=3 even_deny_root unlock_time=300
auth sufficient pam_faillock.so authsucc audit deny=3 even_deny_root unlock_time=300

"
4.1.2    设置密码复杂度    H    用户密码必须符合相应的复杂度要求    查看/etc/pam.d/password-auth和/etc/pam.d/system-auth文件    "文件中有如下配置：
password    requisite     pam_pwquality.so minlen=8 minclass=3 enforce_for_root try_first_pass local_users_only retry=3 dcredit=0 ucredit=0 lcredit=0 ocredit=0
password required pam_pwhistory.so use_authtok remember=5 enforce_for_root
"    "文件中有如下配置：
password    requisite     pam_pwquality.so minlen=8 minclass=3 enforce_for_root try_first_pass local_users_only retry=3 dcredit=0 ucredit=0 lcredit=0 ocredit=0
password required pam_pwhistory.so use_authtok remember=5 enforce_for_root"
4.1.3    "通用加密算法场景下：密码通过sha512方式进行加密
SM系列商密算法场景下：密码通过sm3方式进行加密"    H    "通用加密算法场景下：使用不可逆的安全的sha512加密算法对密码进行加密
SM系列商密算法场景下：使用不可逆的安全的sm3加密算法对密码进行加密"    "查看“/etc/pam.d/password-auth
”和“/etc/pam.d/system-auth”文件"    "文件中有如下配置：
通用加密算法场景下：password sufficient pam_unix.so sha512 shadow nullok try_first_pass use_authtok
SM系列商密算法场景下：password sufficient pam_unix.so sm3 shadow nullok try_first_pass use_authtok"    "通用加密算法场景下：在配置文件“/etc/pam.d/password-auth
”和“/etc/pam.d/system-auth”文件中，写入password sufficient pam_unix.so sha512 shadow nullok try_first_pass use_authtok
SM系列商密算法场景下：
在配置文件“/etc/pam.d/password-auth
”和“/etc/pam.d/system-auth”文件中，写入password sufficient pam_unix.so sm3 shadow nullok try_first_pass use_authtok"
4.1.4    验证登录用户的信息是否正确    H    在用户登录系统时使用pam_unix.so验证用户信息是否正确。如果用户信息错误，则禁止用户登录    "查看“/etc/pam.d/password-auth
”和“/etc/pam.d/system-auth”文件"    "文件中有如下配置
account required pam_unix.so"    "在配置文件“/etc/pam.d/password-auth
”和“/etc/pam.d/system-auth”中，写入如下内容。
account required pam_unix.so
"
4.1.5    设置密码有效期    H    用户需要定期修改密码，密码必须90天以内更换一次，在密码过期前7天提醒用户    查看/etc/login.defs文件    "写入如下内容。
PASS_MAX_DAYS 90 
PASS_MIN_DAYS 0 
PASS_WARN_AGE 7
"    "写入如下内容。
PASS_MAX_DAYS 90 
PASS_MIN_DAYS 0
PASS_WARN_AGE 7
"
4.1.6    限制使用su命令的帐户    H    只允许属于wheel群组的帐户使用su命令    查看/etc/pam.d/su文件    "写入如下内容。
auth required pam_wheel.so use_uid 
"    "写入如下内容。
auth required pam_wheel.so use_uid 
"