• 银河麒麟高级服务器操作系统 V10 SP3 2303安全加固手册

银河麒麟高级服务器操作系统 V10 SP3 2303安全加固手册

2025-05-06 17:57:10 1 阅读

目录
1 安全服务 .........................................................................................................................................1
1.1 检查是否关闭不必要的服务和端口 ................................................................................. 1
1.1.1 说明 .......................................................................................................................... 1
1.1.2 检查方法 .................................................................................................................. 1
1.1.3 修改建议 .................................................................................................................. 1
1.2 检查是否禁用不必要的系统服务 ..................................................................................... 1
1.2.1 说明 .......................................................................................................................... 1
1.2.2 检查方法 .................................................................................................................. 1
1.2.3 修改建议 .................................................................................................................. 1
1.3 禁止匿名 WU-FTP 用户登录 ............................................................................................ 2
1.3.1 说明 .......................................................................................................................... 2
1.3.2 检查方法 .................................................................................................................. 2
1.3.3 修改建议 .................................................................................................................. 2
1.4 禁止匿名 VSFTP 用户登录 ............................................................................................... 2
1.4.1 说明 .......................................................................................................................... 2
1.4.2 检查方法 .................................................................................................................. 2
1.4.3 修改建议 .................................................................................................................. 2
1.5 开启 ssh 服务 ...................................................................................................................... 3
1.5.1 说明 .......................................................................................................................... 3
1.5.2 检查方法 .................................................................................................................. 3
1.5.3 修改建议 .................................................................................................................. 3
1.6 禁用 telnet 服务 .................................................................................................................. 3
1.6.1 说明 .......................................................................................................................... 3
1.6.2 检查方法 .................................................................................................................. 3
1.6.3 修改建议 .................................................................................................................. 3
1.7 禁止 root 登录 VSFTP........................................................................................................4
1.7.1 说明 .......................................................................................................................... 4
1.7.2 检查方法 .................................................................................................................. 4
1.7.3 修改建议 .................................................................................................................. 4
1.8 禁止 root 登录 WU-FTP.....................................................................................................4
1.8.1 说明 .......................................................................................................................... 4
1.8.2 检查方法 .................................................................................................................. 4
1.8.3 修改建议 .................................................................................................................. 5
1.9 SSH 登录前 banner 设置 .....................................................................................................5
1.9.1 说明 .......................................................................................................................... 5 1.9.2 检查方法 .................................................................................................................. 5
1.9.3 修改建议 .................................................................................................................. 5
1.10 检查是否设置 ssh 成功登录后 Banner........................................................................... 6
1.10.1 说明 ........................................................................................................................ 6
1.10.2 检查方法 ................................................................................................................ 6
1.10.3 修改建议 ................................................................................................................ 6
1.11 检查 telnet Banner 设置 ...................................................................................................6
1.11.1 说明 .........................................................................................................................6
1.11.2 检查方法 ................................................................................................................ 6
1.11.3 修改建议 ................................................................................................................ 7
1.12 telnet 登录后的信息设置 .................................................................................................. 7
1.12.1 说明 ........................................................................................................................ 7
1.12.2 检查方法 ................................................................................................................ 7
1.12.3 修改建议 ................................................................................................................ 7
1.13 Telnet 未禁用 root 登录 .....................................................................................................8
1.13.1 说明 ........................................................................................................................ 8
1.13.2 检查方法 ................................................................................................................ 8
1.13.3 修改建议 ................................................................................................................ 8
1.14 SSH 未禁用 root 登录 ....................................................................................................... 8
1.14.1 说明 ........................................................................................................................ 8
1.14.2 检查方法 ................................................................................................................ 8
1.14.3 修改建议 ................................................................................................................ 8
1.15 SSH 未设置安全协议 ........................................................................................................9
1.15.1 说明 ........................................................................................................................ 9
1.15.2 检查方法 ................................................................................................................ 9
1.15.3 修改建议 ................................................................................................................ 9
1.16 SSH 日志等级未加固 ........................................................................................................9
1.16.1 说明 ........................................................................................................................ 9
1.16.2 检查方法 ................................................................................................................ 9
1.16.3 修改建议 .............................................................................................................. 10
1.17 SSH 失败尝试次数未配置 ..............................................................................................10
1.17.1 说明 ...................................................................................................................... 10
1.17.2 检查方法 .............................................................................................................. 10
1.17.3 修改建议 .............................................................................................................. 10
1.18 SSH 未禁用空密码用户登录 ..........................................................................................10
1.18.1 说明 ...................................................................................................................... 10
1.18.2 检查方法 .............................................................................................................. 10 1.18.3 修改建议 .............................................................................................................. 11
1.19 SSH 未禁用环境处理 ...................................................................................................... 11
1.19.1 说明 ...................................................................................................................... 11
1.19.2 检查方法 .............................................................................................................. 11
1.19.3 修改建议 .............................................................................................................. 11
1.20 SSH 强加密算法未开启 ..................................................................................................11
1.20.1 说明 ...................................................................................................................... 11
1.20.2 检查方法 .............................................................................................................. 12
1.20.3 修改建议 .............................................................................................................. 12
2 风险账户 ...................................................................................................................................... 12
2.1 空口令账号加固 ............................................................................................................... 12
2.1.1 说明 ........................................................................................................................ 12
2.1.2 检查方法 ................................................................................................................ 12
2.1.3 修改建议 ................................................................................................................ 12
2.2 系统账号登录限制 ........................................................................................................... 13
2.2.1 说明 ........................................................................................................................ 13
2.2.2 检查方法 ................................................................................................................ 13
2.2.3 修改建议 ................................................................................................................ 13
2.3 加固 uid 0 root 之外的帐户 ................................................................................... 13
2.3.1 说明 ........................................................................................................................ 13
2.3.2 检查方法 ................................................................................................................ 13
2.3.3 修改建议 ................................................................................................................ 13
2.4 锁定与设备运行和维护无关的账户 ...............................................................................14
2.4.1 说明 ........................................................................................................................ 14
2.4.2 检查方法 ................................................................................................................ 14
2.4.3 修改建议 ................................................................................................................ 14
3 密码强度 ...................................................................................................................................... 14
3.1 系统开启密码复杂度策略 ............................................................................................... 14
3.1.1 说明 ........................................................................................................................ 14
3.1.2 检查方法 ................................................................................................................ 14
3.1.3 修改建议 ................................................................................................................ 15
3.2 系统密码复杂度配置 ....................................................................................................... 15
3.2.1 说明 ........................................................................................................................ 15
3.2.2 检查方法 ................................................................................................................ 15
3.2.3 修改建议 ................................................................................................................ 15
3.3 口令生命周期加固 ........................................................................................................... 16 3.3.1 说明 ........................................................................................................................ 16
3.3.2 检查方法 ................................................................................................................ 16
3.3.3 修改建议 ................................................................................................................ 16
3.4 口令最小长度加固 ........................................................................................................... 16
3.4.1 说明 ........................................................................................................................ 16
3.4.2 检查方法 ................................................................................................................ 17
3.4.3 修改建议 ................................................................................................................ 17
3.5 口令更改最短间隔设置 ................................................................................................... 17
3.5.1 说明 ........................................................................................................................ 17
3.5.2 检查方法 ................................................................................................................ 17
3.5.3 修改建议 ................................................................................................................ 17
3.6 口令过期前警告天数设置 ............................................................................................... 18
3.6.1 说明 ........................................................................................................................ 18
3.6.2 检查方法 ................................................................................................................ 18
3.6.3 修改建议 ................................................................................................................ 18
3.7 检查密码重复使用次数限制 ........................................................................................... 18
3.7.1 说明 ........................................................................................................................ 18
3.7.2 检查方法 ................................................................................................................ 19
3.7.3 修改建议 ................................................................................................................ 19
4 账户锁定 ...................................................................................................................................... 19
4.1 口令失败尝试锁定功能开启 ........................................................................................... 19
4.1.1 说明 ........................................................................................................................ 19
4.1.2 检查方法 ................................................................................................................ 19
4.1.3 修改建议 ................................................................................................................ 19
4.2 配置口令失败尝试锁定 ................................................................................................... 20
4.2.1 说明 ........................................................................................................................ 20
4.2.2 检查方法 ................................................................................................................ 20
4.2.3 修改建议 ................................................................................................................ 20
5 系统安全 ...................................................................................................................................... 21
5.1 开启系统安全功能 ........................................................................................................... 21
5.1.1 说明 ........................................................................................................................ 21
5.1.2 检查方法 ................................................................................................................ 21
5.1.3 修改建议 ................................................................................................................ 21
5.2 firewalld 加固 .....................................................................................................................22
5.2.1 说明 ........................................................................................................................ 22
5.2.2 检查方法 ................................................................................................................ 22 5.2.3 修改建议 ................................................................................................................ 22
6 系统审计 ...................................................................................................................................... 23
6.1 安全日志记录配置 ........................................................................................................... 23
6.1.1 说明 ........................................................................................................................ 23
6.1.2 检查方法 ................................................................................................................ 23
6.1.3 修改建议 ................................................................................................................ 23
6.2 psacct 软件加固 ................................................................................................................. 23
6.2.1 说明 ........................................................................................................................ 23
6.2.2 检查方法 ................................................................................................................ 23
6.2.3 修改建议 ................................................................................................................ 23
6.3 swatch 软件加固 ................................................................................................................ 24
6.3.1 说明 ........................................................................................................................ 24
6.3.2 检查方法 ................................................................................................................ 24
6.3.3 安装方法 ................................................................................................................ 24
6.4 登录日志记录配置 ........................................................................................................... 24
6.4.1 说明 ........................................................................................................................ 24
6.4.2 检查方法 ................................................................................................................ 24
6.4.3 修改建议 ................................................................................................................ 24
6.5 audit 规则加固 ................................................................................................................... 25
6.5.1 说明 ........................................................................................................................ 25
6.5.2 检查方法 ................................................................................................................ 25
6.5.3 修改建议 ................................................................................................................ 25
7 内核参数 ...................................................................................................................................... 26
7.1 icmp 重定向报文未禁止 ................................................................................................... 26
7.1.1 说明 ........................................................................................................................ 26
7.1.2 检查方法 ................................................................................................................ 26
7.1.3 修改建议 ................................................................................................................ 26
7.2 发送重定向未禁止 ........................................................................................................... 27
7.2.1 说明 ........................................................................................................................ 27
7.2.2 检查方法 ................................................................................................................ 27
7.2.3 修改建议 ................................................................................................................ 27
7.3 icmp echo 请求广播未开启 ...............................................................................................28
7.3.1 说明 ........................................................................................................................ 28
7.3.2 检查方法 ................................................................................................................ 28
7.3.3 修改建议 ................................................................................................................ 28
7.4 icmp 源路由未禁止 ........................................................................................................... 28 7.4.1 说明 ........................................................................................................................ 28
7.4.2 检查方法 ................................................................................................................ 28
7.4.3 修改建议 ................................................................................................................ 29
7.5 数据包转发未禁止 ........................................................................................................... 29
7.5.1 说明 ........................................................................................................................ 29
7.5.2 检查方法 ................................................................................................................ 29
7.5.3 修改建议 ................................................................................................................ 29
8 安全网络 ...................................................................................................................................... 30
8.1 关闭 IP 绑定 ......................................................................................................................30
8.1.1 说明 ........................................................................................................................ 30
8.1.2 检查方法 ................................................................................................................ 30
8.1.3 修改建议 ................................................................................................................ 30
8.2 不允许对主机进行 IP 伪装 ..............................................................................................30
8.2.1 说明 ........................................................................................................................ 30
8.2.2 检查方法 ................................................................................................................ 30
8.2.3 修改建议 ................................................................................................................ 31
8.3 snmp 加固 ...........................................................................................................................31
8.3.1 说明 ........................................................................................................................ 31
8.3.2 检查方法 ................................................................................................................ 31
8.3.3 修改建议 ................................................................................................................ 31
9 系统命令 ...................................................................................................................................... 32
9.1 设置输出历史命令 ........................................................................................................... 32
9.1.1 说明 ........................................................................................................................ 32
9.1.2 检查方法 ................................................................................................................ 32
9.1.3 修改建议 ................................................................................................................ 32
9.2 设置记录历史命令 ........................................................................................................... 32
9.2.1 说明 ........................................................................................................................ 32
9.2.2 检查方法 ................................................................................................................ 32
9.2.3 修改建议 ................................................................................................................ 33
9.3 su 命令使用日志配置 ........................................................................................................33
9.3.1 说明 ........................................................................................................................ 33
9.3.2 检查方法 ................................................................................................................ 33
9.3.3 修改建议 ................................................................................................................ 33
10 潜在危险 .................................................................................................................................... 33
10.1 重命名 .netrc 文件 ........................................................................................................... 33 10.1.1 说明 ...................................................................................................................... 33
10.1.2 检查方法 .............................................................................................................. 33
10.1.3 修改建议 .............................................................................................................. 34
10.2 重命名 hosts.equiv 文件 ................................................................................................. 34
10.2.1 说明 ...................................................................................................................... 34
10.2.2 检查方法 .............................................................................................................. 34
10.2.3 修改建议 .............................................................................................................. 34
10.3 重命名 .rhosts 文件 ..........................................................................................................34
10.3.1 说明 ...................................................................................................................... 34
10.3.2 检查方法 .............................................................................................................. 34
10.3.3 修改建议 .............................................................................................................. 35
10.4 重命名 equiv 文件 .......................................................................................................... 35
10.4.1 说明 ...................................................................................................................... 35
10.4.2 检查方法 .............................................................................................................. 35
10.4.3 修改建议 .............................................................................................................. 35
10.5 重命名 rhosts 文件 ..........................................................................................................35
10.5.1 说明 ...................................................................................................................... 35
10.5.2 检查方法 .............................................................................................................. 35
10.5.3 修改建议 .............................................................................................................. 36
10.6 /etc/aliases 未禁用不必要的别名 ................................................................................... 36
10.6.1 说明 ...................................................................................................................... 36
10.6.2 检查方法 .............................................................................................................. 36
10.6.3 修改建议 .............................................................................................................. 36
10.7 /etc/mail/aliases 未禁用不必要的别名 ........................................................................... 37
10.7.1 说明 ...................................................................................................................... 37
10.7.2 检查方法 .............................................................................................................. 37
10.7.3 修改建议 .............................................................................................................. 37
10.8 判断 chkrootkit 是否安装 ...............................................................................................37
10.8.1 说明 ...................................................................................................................... 37
10.8.2 检查方法 .............................................................................................................. 37
10.8.3 安装方法 .............................................................................................................. 38
11 系统设置 .....................................................................................................................................38
11.1 su 命令的访问限制 ..........................................................................................................38
11.1.1 说明 ...................................................................................................................... 38
11.1.2 检查方法 .............................................................................................................. 38
11.1.3 修改建议 .............................................................................................................. 38
11.2 限制 core dump ............................................................................................................... 38 11.2.1 说明 ...................................................................................................................... 38
11.2.2 检查方法 .............................................................................................................. 39
11.2.3 修改建议 .............................................................................................................. 39
11.3 禁用 ctrl+alt+delete .........................................................................................................39
11.3.1 说明 ...................................................................................................................... 39
11.3.2 检查方法 .............................................................................................................. 39
11.3.3 修改建议 .............................................................................................................. 39
11.4 设置空闲锁屏时间 ......................................................................................................... 40
11.4.1 说明 ...................................................................................................................... 40
11.4.2 检查方法 .............................................................................................................. 40
11.4.3 修改建议 .............................................................................................................. 40
11.5 启用屏保 ..........................................................................................................................40
11.5.1 说明 ...................................................................................................................... 40
11.5.2 检查方法 .............................................................................................................. 40
11.5.3 修改建议 .............................................................................................................. 40
11.6 用户会话超时设置 ......................................................................................................... 41
11.6.1 说明 ...................................................................................................................... 41
11.6.2 检查方法 .............................................................................................................. 41
11.6.3 修改建议 .............................................................................................................. 41
11.7 grub 引导设置密码 .......................................................................................................... 41
11.7.1 说明 ...................................................................................................................... 41
11.7.2 检查方法 .............................................................................................................. 41
11.7.3 修改建议 .............................................................................................................. 41
12 文件权限 .................................................................................................................................... 42
12.1 默认用户 umask 027 或更严格 .................................................................................42
12.1.1 说明 ...................................................................................................................... 42
12.1.2 检查方法 .............................................................................................................. 42
12.1.3 修改建议 .............................................................................................................. 42
12.2 配置重要目录文件的权限 ............................................................................................. 43
12.2.1 说明 ...................................................................................................................... 43
12.2.2 目录文件 - 权限列表 .............................................................................................43
12.2.3 检查方法 .............................................................................................................. 43
12.2.4 修改建议 .............................................................................................................. 43
12.3 配置日志配置文件默认文件目录权限 .........................................................................43
12.3.1 说明 ...................................................................................................................... 43
12.3.2 检查方法 .............................................................................................................. 43
12.3.3 修改建议 .............................................................................................................. 44 12.4 日志文件权限加固 ......................................................................................................... 44
12.4.1 说明 ...................................................................................................................... 44
12.4.1 日志文件 .............................................................................................................. 44
12.4.2 检查方法 .............................................................................................................. 44
12.4.3 修改建议 .............................................................................................................. 44
12.5 配置 ftp 服务器 umask ................................................................................................... 45
12.5.1 说明 ...................................................................................................................... 45
12.5.2 检查方法 .............................................................................................................. 45
12.5.3 修改建议 .............................................................................................................. 45
12.6 配置 ftp 服务器用户访问权限 .......................................................................................45
12.6.1 说明 ...................................................................................................................... 45
12.6.2 检查方法 .............................................................................................................. 45
12.6.3 修改建议 .............................................................................................................. 45
13 磁盘检查 .................................................................................................................................... 46
13.1 系统磁盘扩容 ................................................................................................................. 46
13.1.1 说明 ...................................................................................................................... 46
13.1.2 检查方法 .............................................................................................................. 46
13.1.3 修改建议 .............................................................................................................. 46
13.2 tripwire 加固 .....................................................................................................................46
13.2.1 说明 ...................................................................................................................... 46
13.2.2 检查方法 .............................................................................................................. 46
13.2.3 修改建议 .............................................................................................................. 46
14 资源分配 .................................................................................................................................... 47
14.1 quota 加固 ........................................................................................................................ 47
14.1.1 说明 ...................................................................................................................... 47
14.1.2 检查方法 .............................................................................................................. 47
14.1.3 修改建议 .............................................................................................................. 47
14.2 cgroup 加固 ...................................................................................................................... 47
14.2.1 说明 ...................................................................................................................... 47
14.2.2 检查方法 .............................................................................................................. 47
14.2.3 修改建议 .............................................................................................................. 47
15 系统维护 .................................................................................................................................... 47
15.1 grub 维护模式设置 ..........................................................................................................47
15.1.1 说明 ...................................................................................................................... 47
15.1.2 检查方法 .............................................................................................................. 48 15.1.3 修改建议 .............................................................................................................. 48 1
1 安全服务
1.1 检查是否关闭不必要的服务和端口
1.1.1 说明
不必要的服务: printer sendmail nfs kshell lpd tftp ident time ntalk bootps
klogin ypbind daytime nfslock echo discard chargen
1.1.2 检查方法
验证是否未启用不必要的服务。运行以下命令并验证结果是否如所示
#systemctl list-unit-files 和使用 #chkconfig --list 查看服务
1.1.3 修改建议
1)
加固方法:
运行以下命令进行服务禁用:
#chkconfig < 服务名 > off
2)
还原方法:
运行以下命令将加固时设置为 off 的服务启用:
#chkconfig < 服务名 > on
1.2 检查是否禁用不必要的系统服务
1.2.1 说明
不必要的系统服务: chargen-dgram daytime-stream echo-streamklogin tcpmux-server
chargen-stream discard-dgram eklogin krb5-telnet tftp cvs discard-stream ekrb5-telnet
kshell time-dgram daytime-dgram echo-dgram gssftp rsync time-stream
1.2.2 检查方法
验证是否未启用不必要的服务。运行以下命令并验证结果是否如所示
#systemctl list-unit-files 和使用 #chkconfig --list 查看服务
1.2.3 修改建议
1)
加固方法:
运行以下命令进行服务禁用:
#chkconfig < 服务名 > off 2
2)
还原方法:
运行以下命令将加固时设置为 off 的服务启用:
#chkconfig < 服务名 > on
1.3 禁止匿名 WU-FTP 用户登录
1.3.1 说明
检查是否限制 FTP 用户登录后能访问的目录。
1.3.2 检查方法
检查编辑 /etc/ftpaccess 文件,查看是否包含参数 class
all
real,guest,anonymous *
这一行,包含则需要加固。
1.3.3 修改建议
1)
加固方法:
修改 /etc/ftpaccess 文件,找到“ class
all
real,guest,anonymous *” 把查找到的
在行首添加 “#” 进行注释,在注释行之后添加以下内容
class all real,guest *
2)
还原方法:
把加固时新增的行全部删除,再去掉查找到的“ class
all
real,guest,anonymous
*” 所在行 的行首的 “#”
1.4 禁止匿名 VSFTP 用户登录
1.4.1 说明
检查是否限制 FTP 用户登录后能访问的目录。
1.4.2 检查方法
检查编辑 /etc/vsftpd.conf 文件,参数“ anonymous_enable ”是否为“ NO ”。
1.4.3 修改建议
1)
加固方法:
/etc/vsftpd.conf 文件中找到“ anonymous_enable ”所在行,
在行首添加 “#” 进行注释,在注释行之后添加以下内容
anonymous_enable=NO
2)
还原方法: 3
把加固时新增的行全部删除,再去掉查找到的“ anonymous_enable ”所在行 的行首
“#”
1.5 开启 ssh 服务
1.5.1 说明
对于使用 IP 协议进行远程维护的设备 , 应配置使用 SSH 协议。
1.5.2 检查方法
使用以下命令验证是否开启了 ssh 服务
#systemctl status sshd
1.5.3 修改建议
1)
加固方法:
如果未开启服务,使用以下命令进行加固:
#systemctl enable sshd
#systemctl restart sshd
2)
还原方法:
如果原始服务状态没有开启
#systemctl stop sshd
#systemctl disable sshd
1.6 禁用 telnet 服务
1.6.1 说明
对于使用 IP 协议进行远程维护的设备 , 应禁止使用 telnet 协议。
1.6.2 检查方法
使用以下命令验证是否开启了 telnet 服务
#systemctl status telnet.socket
1.6.3 修改建议
1)
加固方法:
如果安装 telnet 服务软件,服务开启,使用以下命令进行加固:
#systemctl disable telnet.socket
#systemctl stop telnet.socket 4
2)
还原方法:
如果安装 telnet 服务软件,原始服务开启,使用以下命令进行还原:
#systemctl enable telnet.socket
#systemctl start telnet.socket
1.7 禁止 root 登录 VSFTP
1.7.1 说明
检查是否禁止 root 用户登录 FTP
1.7.2 检查方法
运行以下命令并验证是否安装了 vsftpd
#rpm -qa |grep vsftpd
运行以下命令并验证是否禁用了 root 登录
#cat /etc/vsftpd/ftpusers|grep -w root
#cat /etc/vsftpd/user_list|grep -w root
1.7.3 修改建议
1)
加固方法:
运行以下命令进行加固
#echo “root” >> /etc/vsftpd/ftpusers
2)
还原方法:
/etc/vsftpd/ftpusers 文件中删除 root
1.8 禁止 root 登录 WU-FTP
1.8.1 说明
检查是否禁止 root 用户登录 FTP
1.8.2 检查方法
运行以下命令并验证是否安装了 wu-ftp
#rpm -qa |grep wu-ftp
运行以下命令并验证是否禁用了 root 登录
#cat /etc/ftpusers|grep -w root 5
1.8.3 修改建议
1)
加固方法:
运行以下命令进行加固
#echo “root” >>/etc/ftpusers
2)
还原方法:
/etc/ftpusers 文件中删除指定 root
1.9 SSH 登录前 banner 设置
1.9.1 说明
检查是否设置 ssh 登录前警告 Banner
1.9.2 检查方法
运行以下命令并验证输出是否匹配:
1.# grep "^Banner" /etc/ssh/sshd_config ,找不到则需加固
2. 如果存在,查看 banner 对应的 /etc/issue.net 文件中是否包含 " Authorized only. All
activity will be monitored and reported " ,不包含则需加固
1.9.3 修改建议
1)
加固方法:
i 、编辑 /etc/ssh/sshd_config ,如下设置参数:
Banner /etc/issue.net
ii 、创建 banner 对应的 /etc/issue.net 文件并设置相关警告信息
#touch /etc/ issue.net
#chmod 644 /etc/ issue.net
#echo " Authorized only. All activity will be monitored and reported " > /etc/ issue.net
2)
还原方法:
i 、 如果文件不存在 /etc/ issue.net 信息文件:
#rm /etc/telnet_banner
ii 、如果文件存在,在 /etc/ issue.net 删除如下信息:
# Authorized only. All activity will be monitored and reported 6
1.10 检查是否设置 ssh 成功登录后 Banner
1.10.1 说明
检查是否设置 ssh 成功登录后 Banner
1.10.2 检查方法
运行以下命令并验证输出是否匹配:
1.# grep "pam_motd.so" /etc/pam.d/sshd|grep "session"|grep "optional"
2. 查看 /etc/motd 是否存在,若不存在则需加固
3. /etc/motd 存在,查看文件中是否包含 " Login success. All activity will be monitored
and reported. " ,不包含则需加固
1.10.3 修改建议
1)
加固方法:
i 、编辑 /etc/pam.d/sshd ,如下设置参数:
session optional pam_motd.so
ii 、在 /etc/motd 添加信息
#touch /etc/motd
#chmod 644 /etc/motd
#echo " Login success. All activity will be monitored and reported. " >
/etc/motd
2)
还原方法:
i 、 删除 /etc/pam.d/sshd 对应行 session optional pam_motd.so
ii 、 如果没有 motd 文件还原删除 rm /etc/motd
iii 、 如果文件存在,则在 /etc/motd 删除信息 " Login success. All activity will
be monitored and reported. "
1.11 检查 telnet Banner 设置
1.11.1 说明
检查是否设置 telnet 登录前警告 Banner
1.11.2 检查方法
运行以下命令并验证输出是否匹配: 7
#find /etc/issue.net
1.11.3 修改建议
1)
加固方法:
i 、 执行如下命令创建 /etc/ issue.net 信息文件:
#touch /etc/ issue.net
#chmod 644 /etc/ issue.net
#echo " Authorized only. All activity will be monitored and reported " > /etc/ issue.net
2)
还原方法:
i 、 如果文件不存在 /etc/ issue.net 信息文件:
#rm /etc/ issue.net
ii 、 如果文件存在,在 /etc/ issue.net 删除如下信息: " Authorized only. All activity will
be monitored and reported "
1.12 telnet 登录后的信息设置
1.12.1 说明
检查是否设置 telnet 成功登录后 Banner
1.12.2 检查方法
运行以下命令并验证输出是否匹配:
#find /etc/motd
1.12.3 修改建议
1)
加固方法:
i 、如果没有 motd 文件创建 motd 文件:
#touch /etc/motd
ii 、如果文件一直存在,在 /etc/motd 删除如下信息:
# Login success. All activity will be monitored and reported.
2)
还原方法:
i 、如果没有 motd 文件还原删除 motd 文件:
#rm /etc/motd
ii 、如果文件存在,在 /etc/motd 删除如下信息:
# Login success. All activity will be monitored and reported. 8
1.13 Telnet 未禁用 root 登录
1.13.1 说明
检查系统 telnet 安全配置。
1.13.2 检查方法
2 telnet 服务验证方法
运行以下命令并验证输出是否配置 pam_succeed_if.so
#grep pam_succeed_if /etc/pam.d/remote
auth requisite pam_succeed_if.so user != root
1.13.3 修改建议
1)
加固方法:
i 、编辑 /etc/pam.d/remote, 添加如下:
auth requisite pam_succeed_if.so user !=root
2)
还原方法:
找到添加行删除 auth requisite pam_succeed_if.so user !=root
1.14 SSH 未禁用 root 登录
1.14.1 说明
检查系统 openssh 安全配置。
1.14.2 检查方法
1 ssh 验证方法
运行以下命令并验证输出是否匹配
# grep "^PermitRootLogin" /etc/ssh/sshd_config
PermitRootLogin no
1.14.3 修改建议
3)
加固方法:
i 、编辑 /etc/ssh/sshd_config ,找到 PermitRootLogin 所在行, 在行首添加 “#” 进行注
释,在注释行之后添加以下内容:
PermitRootLogin no
ii 、重启 ssh 服务 9
systemctl restart sshd
4)
还原方法:
i 、把加固时新增的行全部删除,再去掉查找到的 PermitRootLogin 所在行 的行首的
“#”
ii 、重启 ssh 服务
systemctl restart sshd
1.15 SSH 未设置安全协议
1.15.1 说明
检查系统 openssh 安全配置。
1.15.2 检查方法
运行以下命令并验证输出是否匹配:
# grep "^Protocol" /etc/ssh/sshd_config
Protocol 2
1.15.3 修改建议
1)
加固方法:
编辑 /etc/ssh/sshd_config ,找到 Protocol 所在行, 在行首添加 “#” 进行注释,在注释
行之后添加以下内容:
Protocol 2
2)
还原方法:
把加固时新增的行全部删除,再去掉查找到的 Protocol 所在行 的行首的 “#”
1.16 SSH 日志等级未加固
1.16.1 说明
检查系统 openssh 安全配置。
1.16.2 检查方法
运行以下命令并验证输出是否匹配
# grep "^LogLevel" /etc/ssh/sshd_config
LogLevel INFO 10
1.16.3 修改建议
1)
加固方法:
编辑 /etc/ssh/sshd_config ,找到 LogLevel 所在行, 在行首添加 “#” 进行注释,在注
释行之后添加以下内容 :
LogLevel INFO
2)
还原方法:
把加固时新增的行全部删除,再去掉查找到的 LogLevel 所在行 的行首的 “#”
1.17 SSH 失败尝试次数未配置
1.17.1 说明
检查系统 openssh 安全配置。
1.17.2 检查方法
运行以下命令并验证输出 MaxAuthTries 是否小于或等于 4
# grep "^MaxAuthTries" /etc/ssh/sshd_config
MaxAuthTries 4
1.17.3 修改建议
1)
加固方法:
编辑 /etc/ssh/sshd_config ,找到 MaxAuthTries 所在行, 在行首添加 “#” 进行注释,在
注释行之后添加以下内容 :
MaxAuthTries 4
2)
还原方法:
把加固时新增的行全部删除,再去掉查找到的 MaxAuthTries 所在行 的行首的 “#”
1.18 SSH 未禁用空密码用户登录
1.18.1 说明
检查系统 openssh 安全配置。
1.18.2 检查方法
运行以下命令并验证输出是否匹配
# grep "^PermitEmptyPasswords" /etc/ssh/sshd_config 11
PermitEmptyPasswords no
1.18.3 修改建议
1)
加固方法:
编辑 /etc/ssh/sshd_config ,找到 PermitEmptyPasswords 所在行, 在行首添加 “#” 进行
注释,在注释行之后添加以下内容 :
PermitEmptyPasswords no
2)
还原方法:
把加固时新增的行全部删除,再去掉查找到的 PermitEmptyPasswords 所在行 的行
首的 “#”
1.19 SSH 未禁用环境处理
1.19.1 说明
检查系统 openssh 安全配置。
1.19.2 检查方法
运行以下命令并验证输出是否匹配:
# grep PermitUserEnvironment /etc/ssh/sshd_config
PermitUserEnvironment no
1.19.3 修改建议
1)
加固方法:
编辑 /etc/ssh/sshd_config ,找到 PermitUserEnvironment 所在行, 在行首添加 “#” 进行
注释,在注释行之后添加以下内容 :
PermitUserEnvironment no
2)
还原方法:
把加固时新增的行全部删除,再去掉查找到的行 PermitUserEnvironment 所在
首的 “#”
1.20 SSH 强加密算法未开启
1.20.1 说明
检查系统 openssh 安全配置。 12
1.20.2 检查方法
nmap --script ssh2-enum-algos -sV -p 22 ip (测试目标的 ip 地址 )
encryption_algorithms: (6)
|
aes128-ctr
|
aes192-ctr
|
aes256-ctr
|
aes128-cbc
|
3des-cbc
|
arcfour128
1.20.3 修改建议
1)
加固方法:
编辑 /etc/ssh/sshd_config ,添加如下行:
Ciphers aes128-ctr,aes192-ctr,aes256-ctr,aes128-cbc
2)
还原方法:
编辑 /etc/ssh/sshd_config ,删除如下行:
Ciphers aes128-ctr,aes192-ctr,aes256-ctr,aes128-cbc
2 风险账户
2.1 空口令账号加固
2.1.1 说明
检查是否存在空口令账号,对存在的空口令账号加固,可防止系统被黑客所创建的账户
登录或遭到黑客暴力破解。
2.1.2 检查方法
检查 /etc/shadow ,查看 uid 大于 1000 secadm auditadm 是否存在空密码。
2.1.3 修改建议
1)
加固方法:
运行以下命令进行加固并提示用户进行密码设置
# usermod -L < 用户名 >
2)
还原方法:
对之前加固的用户调用 " usermod -U < 用户名 >" 解除锁定。 13
2.2 系统账号登录限制
2.2.1 说明
检查是否对系统账号进行登录限制。
2.2.2 检查方法
检查 /etc/passwd ,查看 uid 小于 1000 ,且非 root secadm auditadm 用户是否设置为
/sbin/halt /sbin/nologin
2.2.3 修改建议
1)
加固方法:
对上面检查发现不符合的用户运行以下命令进行加固
# usermod -s /sbin/nologin < 用户名 >
2)
还原方法:
对之前加固的用户使用命令 usermod -s /bin/bash 重新设置参数。
2.3 加固 uid 0 root 之外的帐户
2.3.1 说明
检查是否设置除 root 之外 UID 0 的用户。
2.3.2 检查方法
运行以下命令并确认仅返回“ root ”:
# cat /etc/passwd | awk -F: '($3 == 0) { print $1 }'
root
2.3.3 修改建议
1)
加固方法:
使用一下命令禁用具有 UID 0 root 用户以外的任何用户
# usermod -L < 用户名 >
2)
还原方法:
对之前加固的用户,调用 " usermod -U < 用户名 >" 解除锁定。 14
2.4 锁定与设备运行和维护无关的账户
2.4.1 说明
检查是否删除与设备运行、维护等工作无关的账号。
2.4.2 检查方法
检查 /etc/shadow 中是否存在用户( adm lp mail uucp operator games gopher ftp
nobody nobody4 noaccess listen webservd rpm dbus avahi mailnull smmsp nscd
vcsa rpc rpcuser nfs sshd pcap ntp haldaemon distcache apache webalizer squid
xfs gdm sabayon named )且未锁定。
2.4.3 修改建议
1)
加固方法:
运行以下命令进行用户锁定:
# usermod -L < 用户名 >
2)
还原方法:
对之前加固的用户,调用 "passwd -u -f < 用户名 >" 解除锁定
3 密码强度
3.1 系统开启密码复杂度策略
3.1.1 说明
检查设备是否开启密码复杂度策略(密码强度功能、密码禁止包含用户名功能、密码回
文检查功能、密码相似性检查功能、密码字典检查功能)功能。
3.1.2 检查方法
1 、运行以下命令,并验证是否开启密码强度功能,配置则符合
#grep “pam_pwquality” /etc/pam.d/system-auth|grep enforce_for_root
password requisite pam_pwquality.so try_first_pass local_user_only enforce_for_root
2 、 当 发 现 步 骤 1 配 置 了 pam_pwquality 且 包 含 参 数 enforce_for_root 时 , 检 查
/etc/security/pwquality.conf 中参数“ palindromic ”是否未屏蔽,未屏蔽则符合
3 、 当 发 现 步 骤 1 配 置 了 pam_pwquality 且 包 含 参 数 enforce_for_root 时 , 检 查
/etc/security/pwquality.conf 中参数“ usercheck ”是否为“ 1 1 符合, 0 不符合,屏蔽也不符
15
4 、 当 发 现 步 骤 1 配 置 了 pam_pwquality 且 包 含 参 数 enforce_for_root 时 , 检 查
/etc/security/pwquality.conf 中参数“ no_similar_check ”是否屏蔽,屏蔽则符合
5 、 当 发 现 步 骤 1 配 置 了 pam_pwquality 且 包 含 参 数 enforce_for_root 时 , 检 查
/etc/security/pwquality.conf 中参数““ dictcheck ”是否为“ 1 1 符合, 0 不符合 , 屏蔽也不符
3.1.3 修改建议
1)
加固方法:
i 、在 /etc/pam.d/system-auth 中找到对应行,然后在后面增加字段 enforce_for_root
password requisite pam_pwquality.so try_first_pass local_user_only enforce_for_root
iii 、 在 /etc/security/pwquality.conf 中把查找到的行 在行首添加 “#” 进行注释,在注
释行之后添加以下内容:
dictcheck=1
usercheck=1
palindromic
#no_similar_check
// 屏蔽 no_similar_check
2)
还原方法:
i 、 在 /etc/pam.d/system-auth 中找到对应行,删除字段 enforce_for_root
password requisite pam_pwquality.so try_first_pass local_user_only
ii 、 把加固时新增的行全部删除,去掉查找到的行 的行首的 “#”
3.2 系统密码复杂度配置
3.2.1 说明
检查设备密码复杂度策略。
3.2.2 检查方法
检查 /etc/security/pwquality.conf 中参数“ ucredit dcredit ocredit lcredit ”,未屏蔽且
值是否为“ -1 ”以下则符合。
3.2.3 修改建议
1)
加固方法:
i 、在 /etc/security/pwquality.conf 中把查找到的行 在行首添加 “#” 进行注释,在注释行之
后添加以下内容
dcredit=-1 16
ucredit=-1
ocredit=-1
lcredit=-1
2)
还原方法:
把加固时新增的行全部删除,再去掉查找到的行 的行首的 “#”
3.3 口令生命周期加固
3.3.1 说明
检查是否设置口令生存周期。
3.3.2 检查方法
1 、运行以下命令并验证 PASS_MAX_DAYS 是否符合站点策略( 90 :
# grep PASS_MAX_DAYS /etc/login.defs
2 chage -l < 用户名 > 查看有效期是否为 90 以内,包括 90
# chage -l
两次改变密码之间相距的最大天数
99999
记下这一行两次改变密码之间相距的最大天数
99999 中数值。
3.3.3 修改建议
1)
加固方法:
1. /etc/login.defs 中将查找到的行 在行首添加 “#” 进行注释,在注释行之后添加以
下内容
PASS_MAX_DAYS 90
2.# chage --maxdays 90
2)
还原方法:
i. 把新增的行全部删除,再去掉查找到的行 的行首的 “#”
ii. 先取得检查方法中 chage -l 获取的用户密码最大有效期时间,调用 chage
--maxdays 命令重新设置时间。
3.4 口令最小长度加固
3.4.1 说明
检查口令最小长度。 17
3.4.2 检查方法
运行命令验证 /etc/security/pwquality.conf 的参数 minlen 是否为 8 8 位以上,且未屏
蔽。
3.4.3 修改建议
1)
加固方法:
/etc/security/pwquality.conf 中把查找到的行 在行首添加 “#” 进行注释,在注释行之后
添加以下内容
minlen=8
2)
还原方法:
把加固时新增的行全部删除,再去掉查找到的行 的行首的 “#”
3.5 口令更改最短间隔设置
3.5.1 说明
检查是否设置口令更改最小间隔天数。
3.5.2 检查方法
1. 运行以下命令并验证 PASS_MIN_DAYS 是否为 7 天或 7 天以上:
# grep PASS_MIN_DAYS /etc/login.defs
PASS_MIN_DAYS 7
2 chage -l < 用户名 > 查看有效期是否为 90 以内,包括 90
# chage -l
两次改变密码之间相距的最小天数
0
记下这一行在两次改变密码之间相距的最小天数
0 中数值。
3.5.3 修改建议
1)
加固方法:
1. /etc/login.defs 中将查找到的行 在行首添加 “#” 进行注释,在注释行之后添加以
下内容
PASS_MIN_DAYS 7
2. 修改密码设置为匹配的所有用户的用户参数
# chage --mindays 7
2)
还原方法: 18
i. 把加固时新增的行全部删除,再去掉查找到的行 的行首的 “#”
ii. 先取得检查方法中 chage -l 获取的用户最小有效时间,调用 chage -- mindays 命令
重新设置时间。
3.6 口令过期前警告天数设置
3.6.1 说明
检查是否设置口令过期前警告天数。
3.6.2 检查方法
1. 运行以下命令并验证 PASS_WARN_AGE 是否为 7 或更长:
# grep PASS_WARN_AGE /etc/login.defs
PASS_WARN_AGE 30
2 chage -l < 用户名 > 查看有效期是否为 90 以内,包括 90
# chage -l
在密码过期之前警告的天数 : 7
记下这一行在密码过期之前警告的天数
7 中数值。
3.6.3 修改建议
1)
加固方法:
1 .在 /etc/login.defs 中将查找到的行 在行首添加 “#” 进行注释,在注释行之后添加
以下内容
PASS_WARN_AGE 30
2. 修改密码设置为匹配的所有用户的用户参数
# chage --warndays 30
2)
还原方法:
i. 把加固时新增的行全部删除,再去掉查找到的行 的行首的 “#”
ii. 先取得检查方法中 chage -l 获取的用户密码告警天数,调用 chage --warndays
令重新设置时间。
3.7 检查密码重复使用次数限制
3.7.1 说明
检查密码重复使用次数限制。 19
3.7.2 检查方法
运行以下命令,并确保“ remember ”选项为“ 5 ”或更多并包含在所有结果中:
# egrep "pam_pwhistory.so" /etc/pam.d/system-auth|grep password|grep remember
3.7.3 修改建议
1)
加固方法:
编 辑 /etc/pam.d/system-auth , 找 到 类 似 行 password
requisite
pam_pwquality.so try_first_pass local_users_only ,在下一行添加密码历史策略:
password requisite pam_pwhistory.so remember=5 enforce_for_root
2)
还原方法:
编辑 /etc/pam.d/system-auth ,删除改行 password requisite pam_pwhistory.so remember=5
enforce_for_root
4 账户锁定
4.1 口令失败尝试锁定功能开启
4.1.1 说明
检查账户认证失败次数限制。
4.1.2 检查方法
执行以下操作以确定用户锁定的当前设置, deny 小于等于 5 次,锁定时间大于等于 600
秒算符合
# grep "pam_faillock" /etc/pam.d/system-auth|grep deny|grep unlock_time
4.1.3 修改建议
1)
加固方法:
把查找到的行 在行首添加 “#” 进行注释,在注释行之后添加以下内容
i 、编辑 /etc/pam.d/system-auth 修改为如下策略
auth required pam_faillock.so preauth audit deny=5 even_deny_root unlock_time=600
auth [default=die] pam_faillock.so authfail audit deny=5 even_deny_root
unlock_time=600
auth sufficient pam_faillock.so authsucc audit deny=5 even_deny_root
unlock_time=600
ii 、编辑 /etc/pam.d/password-auth 修改为如下策略 20
auth required pam_faillock.so preauth audit deny=5 even_deny_root unlock_time=600
auth [default=die] pam_faillock.so authfail audit deny=5 even_deny_root
unlock_time=600
auth sufficient pam_faillock.so authsucc audit deny=5 even_deny_root
unlock_time=600
2)
还原方法:
把加固时新增的行全部删除,再去掉查找到的行 的行首的 “#”
4.2 配置口令失败尝试锁定
4.2.1 说明
检查是否配置 SSH 方式账户认证失败次数限制。
4.2.2 检查方法
执行以下操作以确定用户锁定的当前设置, deny 小于等于 5 次,锁定时间大于等于 600
秒算符合
# grep "pam_faillock" /etc/pam.d/system-auth|grep deny|grep unlock_time
4.2.3 修改建议
1)
加固方法:
把查找到的行 在行首添加 “#” 进行注释,在注释行之后添加以下内容
i 、编辑 /etc/pam.d/system-auth 修改为如下策略
auth required pam_faillock.so preauth audit deny=5 even_deny_root unlock_time=600
auth [default=die] pam_faillock.so authfail audit deny=5 even_deny_root
unlock_time=600
auth sufficient pam_faillock.so authsucc audit deny=5 even_deny_root
unlock_time=600
ii 、编辑 /etc/pam.d/password-auth 修改为如下策略
auth required pam_faillock.so preauth audit deny=5 even_deny_root unlock_time=600
auth [default=die] pam_faillock.so authfail audit deny=5 even_deny_root
unlock_time=600
auth sufficient pam_faillock.so authsucc audit deny=5 even_deny_root
unlock_time=600
2)
还原方法:
把加固时新增的行全部删除,再去掉查找到的行 的行首的 “#” 21
5 系统安全
5.1 开启系统安全功能
5.1.1 说明
检查系统安全功能是否开启。
5.1.2 检查方法
针对银河麒麟高级服务器 V10SP3
1 、查看安全模式,模式为 strict 为符合
#security-switch --get
2 、查看 box 是否开启,状态 on 为符合
#getstatus -m box
针对银河麒麟高级服务器 V10SP1 V10SP2
1 .查看安全模式,模式为 strict 为符合
使用 #security-switch –get
并记录操作前的系统安全状态
2 .查看 box 是否开启,值 1 为符合
#cat /sys/kernel/security/box/status
SP1&SP2 通过读取 grub 文件中的参数获取 box 状态; SP3 通过 getstatus -m box 获取状
5.1.3 修改建议
1)
针对银河麒麟高级服务器 V10SP3 加固方法:
i 、当模式不是 strict 时,执行以下命令开启 strict 模式
#security-switch --set strict
ii 、当 box 未开启时,使用如下命令进行加固
#setstatus box -s enable
2)
针对银河麒麟高级服务器 V10SP1 V10SP2 加固方法:
i 、当模式不是 strict 时,执行以下命令开启 strict 模式
#security-switch --set strict
ii 、当 box 未开启时,在 /boot/grub2/grub.cfg security=kysec 后加入 box , 如下:
linux
/vmlinuz-4.19.90-25.9.v2101.ky10.x86_64
root=/dev/mapper/klas-root
ro
resume=/dev/mapper/klas-swap rd.lvm.lv=klas/root rd.lvm.lv=klas/swap rhgb quiet
crashkernel=1024M,high security=kysec,box kysec_status=2 22
3)
还原方法:
使用命令 security-switch --set 重新设置安全状态; SP1&SP2 通过修改 grub 文件参
数设置 box 状态; SP3 通过 setstatus box -s XX 设置 box 状态。
5.2 firewalld 加固
5.2.1 说明
应按 GB/T 20271 2006 中5 . . 5a)会话建立机制的要求,根据访问地址或端口,允
许或拒绝用户的登录。鉴别机制不准许被旁路。
系统应提供一种机制,按时间、进入方式、地点、网络地址或端口等条件规定哪些用户
能进入系统。
5.2.2 检查方法
1 、运行以下命令并验证 firewalld 是否运行
#firewall-cmd --state
2 、如 firewalld 已运行,则运行以下命令查看默认模式是否设置了规则,主要是查看 ports
services protocols forward-ports source-ports icmp-blocks rich rules 等是否存在规则,
如果为空则无规则。
#firewall-cmd --list-all
5.2.3 修改建议
1)
手动加固方法:
i 、如果 firewalld 未运行,使用如下命令进行加固 , 如已运行则直接进行第二步
#systemctl enable firewalld
#systemctl restart firewalld
ii 、使用如下命令查看是否设置了规则,如未设置规则则提示用户手动添加规则:
#firewall-cmd --list-all
2)
手动还原方法:
i 、如果 firewalld 已运行,使用如下命令进行加固 , 如已运行则直接进行第二步
#systemctl disable firewalld
#systemctl stop firewalld
ii 、使用如下命令查看是否设置了规则,如已设置规则则提示用户手动删除规则:
#firewall-cmd --remove 。删除完即恢复 23
6 系统审计
6.1 安全日志记录配置
6.1.1 说明
检查安全事件日志配置。
6.1.2 检查方法
1 、存在 /etc/rsyslog.conf ,查看相关文件是否配置了 *.err kern.debug daemon.notice
信息。
6.1.3 修改建议
1)
加固方法:
i 、存在 /etc/rsyslog.conf ,在相关文件中配置添加如下行:
*.err;kern.debug;daemon.notice /var/adm/messages
2)
还原方法:
删除加固时添加的行。
6.2 psacct 软件加固
6.2.1 说明
检查是否记录用户对设备的操作。
6.2.2 检查方法
1 、运行以下命令检查是否安装了 psacct 软件
#rpm -qa |grep psacct
2 、查看 psacct 服务是否开启,开启无需加固。
#systemctl status psacct
6.2.3 修改建议
1)
加固方法:
i 、 未安装提示用户安装 psacct 软件。
ii 、 安装后,查看服务状态。服务启动无需加固
2)
还原方法
i 、 如果服务未开启,恢复到服务之前状态。 24
ii 、 如果用户手动安装 psacct 包,则不会卸载。
6.3 swatch 软件加固
6.3.1 说明
审计日志分析软件 swatch 未安装,建议安装。
6.3.2 检查方法
1 、运行以下命令检查是否安装了 swatch 软件
#rpm -qa |grep swatch
6.3.3 安装方法
1 、运行以下命令安装 swatch 软件
#yum install swatch
6.4 登录日志记录配置
6.4.1 说明
检查是否对登录进行日志记录。
6.4.2 检查方法
1 、检查是否存在 /var/log/wtmp,/var/run/utmp 文件。
6.4.3 修改建议
3)
加固方法:
i 、使用如下命令创建相关文件:
#touch /var/log/wtmp
#touch /var/run/utmp
4)
还原方法:
删除文件
#rm /var/log/wtmp
#rm /var/run/utmp 25
6.5 audit 规则加固
6.5.1 说明
1 、身份鉴别、自主访问控制、标记和强制访问控制等安全功能的使用
2 、创建、删除客体的操作
3 、所有管理员的操作
4 、每条审计记录应包括:事件类型、事件发生的日期和时间、触发事件的用户、事件
成功或失败等字段
5 、创建和删除客体的事件审计记录还应包括客体的名字、客体的安全属性
6 、网络会话事件审计记录还应包括:网络程序名称、协议类型、源IP地址、目的I
P地址、源端口、目的端口、会话总字节数等字段。
6.5.2 检查方法
1 、先在 grub 中加上 audit=1 ,保证内核的审计功能已打开
2 、运行以下命令并验证 auditd 是否运行
#systemctl status auditd
3 、运行如 auditd 已运行,则运行以下命令查看是否设置了规则,
#auditctl -l
6.5.3 修改建议
1)
加固方法:
i 、如果 auditd 未运行,使用如下命令进行加固 , 如已运行则直接进行第二步
#systemctl enable auditd
#systemctl restart auditd
ii 、使用如下命令查看是否设置了规则(输出未空则未添加规则),如未设置规则
则提示用户添加规则:
#auditctl -l
iii 、 设置审计规则
auditctl -w /tmp/file1 -k file
// 监控 file1 文件的 arwx
auditctl -a exit,always -F arch=b64 -S execve -F uid=0 // 监控 root 用户下的系统调
execve
2)
还原方法:
i 、如果加固前 auditd 未运行,使用如下命令进行还原,如已运行则直接进行第二
#systemctl disable auditd
#systemctl stpo auditd 26
ii 、使用如下命令查看是否设置了规则
#auditctl -l
iii 、删除规则(加固时设置的规则)
#auditctl -D // 删除 auditctl -l 查出的所有规则
#auditctl -d always,exit -F arch=b64 -S execve -F uid=0 // 删除监控 root 用户下的系
统调用 execve 规则
7 内核参数
7.1 icmp 重定向报文未禁止
7.1.1 说明
检查系统内核参数配置,是否禁止 icmp 重定向报文。
7.1.2 检查方法
1 、运行以下命令并验证输出是否匹配:
# sysctl net.ipv4.conf.all.accept_redirects
net.ipv4.conf.all.accept_redirects = 0
# sysctl net.ipv4.conf.default.accept_redirects
net.ipv4.conf.default.accept_redirects = 0
# grep "net.ipv4.conf.all.accept_redirects" /etc/sysctl.conf
net.ipv4.conf.all.accept_redirects= 0
# grep "net.ipv4.conf.default.accept_redirects" /etc/sysctl.conf
net.ipv4.conf.default.accept_redirects= 0
7.1.3 修改建议
1)
加固方法:
i 、 在 /etc/sysctl.conf 文件中把查找到的行 在行首添加 “#” 进行注释,在注释行之后添
加以下内容
net.ipv4.conf.all.accept_redirects = 0
net.ipv4.conf.default.accept_redirects = 0
ii 、 运行以下命令以载入 sysctl 配置文件,并设置活动内核参数:
# sysctl -p
2)
还原方法:
i 、 把加固时新增的行全部删除,再去掉查找到的行 的行首的 “#”
ii 、 运行以下命令以载入 sysctl 配置文件,并设置活动内核参数: 27
# sysctl -p
7.2 发送重定向未禁止
7.2.1 说明
检查系统内核参数配置,检查 send_redirects 配置。
7.2.2 检查方法
1 、运行以下命令并验证输出是否匹配
# sysctl net.ipv4.conf.all.send_redirects
net.ipv4.conf.all.send_redirects = 0
# sysctl net.ipv4.conf.default.send_redirects
net.ipv4.conf.default.send_redirects = 0
# grep "net.ipv4.conf.all.send_redirects" /etc/sysctl.conf
net.ipv4.conf.all.send_redirects = 0
# grep "net.ipv4.conf.default.send_redirects" /etc/sysctl.conf
net.ipv4.conf.default.send_redirects= 0
7.2.3 修改建议
1)
加固方法:
i 、 在 /etc/sysctl.conf 文件中把查找到的行 在行首添加 “#” 进行注释,在注释行之后添
加以下内容
net.ipv4.conf.all.send_redirects = 0
net.ipv4.conf.default.send_redirects = 0
ii 、 运行以下命令以载入 sysctl 配置文件,并设置活动内核参数:
# sysctl -p
2)
还原方法:
i 、 把加固时新增的行全部删除,再去掉查找到的行 的行首的 “#”
ii 、 运行以下命令以载入 sysctl 配置文件,并设置活动内核参数:
# sysctl -p 28
7.3 icmp echo 请求广播未开启
7.3.1 说明
检查系统内核参数配置,检查 icmp_echo_ignore_broadcasts 配置。
7.3.2 检查方法
1 、运行以下命令并验证输出是否匹配
# sysctl net.ipv4.icmp_echo_ignore_broadcasts
net.ipv4.icmp_echo_ignore_broadcasts = 1
# grep "net.ipv4.icmp_echo_ignore_broadcasts" /etc/sysctl.conf
net.ipv4.icmp_echo_ignore_broadcasts = 1
7.3.3 修改建议
1)
加固方法:
i 、 在 /etc/sysctl.conf 文件中把查找到的行 在行首添加 “#” 进行注释,在注释行之后添
加以下内容
net.ipv4.icmp_echo_ignore_broadcasts = 1
ii 、 运行以下命令以载入 sysctl 配置文件,并设置活动内核参数:
# sysctl -p
2)
还原方法:
i 、 把加固时新增的行全部删除,再去掉查找到的行 的行首的 “#”
ii 、 运行以下命令以载入 sysctl 配置文件,并设置活动内核参数:
# sysctl -p
7.4 icmp 源路由未禁止
7.4.1 说明
检查系统内核参数配置,是否禁止 icmp 源路由。
7.4.2 检查方法
1 、运行以下命令并验证输出是否匹配:
# sysctl net.ipv4.conf.all.accept_source_route
net.ipv4.conf.all.accept_source_route = 0
# sysctl net.ipv4.conf.default.accept_source_route
net.ipv4.conf.default.accept_source_route = 0 29
# grep "net.ipv4.conf.all.accept_source_route" /etc/sysctl.conf
net.ipv4.conf.all.accept_source_route= 0
#grep "net.ipv4.conf.default.accept_source_route" /etc/sysctl.conf
net.ipv4.conf.default.accept_source_route= 0
7.4.3 修改建议
1)
加固方法:
i 、 在 /etc/sysctl.conf 文件中把查找到的行 在行首添加 “#” 进行注释,在注释行之后添
加以下内容
net.ipv4.conf.all.accept_source_route = 0
net.ipv4.conf.default.accept_source_route = 0
ii 、 运行以下命令以载入 sysctl 配置文件,并设置活动内核参数:
# sysctl -p
2)
还原方法:
i 、 把加固时新增的行全部删除,再去掉查找到的行 的行首的 “#”
ii 、 运行以下命令以载入 sysctl 配置文件,并设置活动内核参数:
# sysctl -p
7.5 数据包转发未禁止
7.5.1 说明
检查系统内核参数配置,检查 ip_forward 配置。
7.5.2 检查方法
运行以下命令并验证输出是否匹配:
# sysctl net.ipv4.ip_forward
net.ipv4.ip_forward = 0
# grep "net.ipv4.ip_forward" /etc/sysctl.conf
net.ipv4.ip_forward = 0
7.5.3 修改建议
1)
加固方法:
i 、 在 /etc/sysctl.conf 文件中把查找到的行 在行首添加 “#” 进行注释,在注释行之后添
加以下内容
net.ipv4.ip_forward = 0 30
ii 、 运行以下命令以载入 sysctl 配置文件,并设置活动内核参数:
# sysctl -p
2)
还原方法:
i 、 把加固时新增的行全部删除,再去掉查找到的行 的行首的 “#”
ii 、 运行以下命令以载入 sysctl 配置文件,并设置活动内核参数:
# sysctl -p
8 安全网络
8.1 关闭 IP 绑定
8.1.1 说明
检查是否配置关闭多 IP 绑定。
8.1.2 检查方法
1 、运行以下命令并验证是否关闭 IP 绑定,查看是否存在相关参数且值为 off
#grep multi /etc/host.conf
8.1.3 修改建议
1)
加固方法:
i 、在 /etc/host.conf 中设置添加参数
multi off
2)
还原方法:
删除加固时添加的行。
8.2 不允许对主机进行 IP 伪装
8.2.1 说明
检查是否配置关闭 IP 伪装。
8.2.2 检查方法
1 、运行以下命令并验证是否启用反向路由筛选,查看是否存在相关参数且值为 1
#sysctl -n net.ipv4.conf.all.rp_filter
#sysctl -n net.ipv4.conf.default.rp_filter 31
8.2.3 修改建议
1)
加固方法:
i 、 在 /etc/sysctl.conf 文件中找到查找行,在查找行前加“ # ”注释,然后添加以下
参数:
net.ipv4.conf.all.rp_filter = 1
net.ipv4.conf.default.rp_filter = 1
ii 、运行以下命令以设置活动内核参数:
# sysctl -w net.ipv4.conf.all.rp_filter = 1
# sysctl -w net.ipv4.conf.default.rp_filter = 1
2)
还原方法:
i 、在 /etc/sysctl.conf 文件中找到查找行,在查找行前去掉“ # ”注释,删除
以下行参数:
net.ipv4.conf.all.rp_filter = 1
net.ipv4.conf.default.rp_filter = 1
ii 、运行以下命令以设置活动内核参数:
# sysctl -w net.ipv4.conf.all.rp_filter = 0
# sysctl -w net.ipv4.conf.default.rp_filter = 0
8.3 snmp 加固
8.3.1 说明
检查是否修改 snmp 默认团体字。
8.3.2 检查方法
1 、验证是否安装了 snmp
$rpm -qa |grep net-snmp
2 、检查是否存在 /etc/snmp/snmpd.conf
3 、检查是否存在 private public 团体名
8.3.3 修改建议
1)
加固方法:
i 、 如果系统未安装 snmp 服务,则无需加固
ii 、如存在 /etc/snmp/snmp.conf ,且存在 private public 默认团体名
把查找到的行在行首添加“ # ”进行注释,在注释行之后添加以下内容:
private public 改成: kylin_snmp ,并去除 default 关键字。
iii 、重启 snmp 服务 32
systemctl restart snmpd
2)
还原方法:
i 、把加固时新增的行全部删除,再去掉查找到的行 的行首的 “#”
ii 、重启 snmp 服务
systemctl restart snmpd
9 系统命令
9.1 设置输出历史命令
9.1.1 说明
检查保留历史命令的条数。
9.1.2 检查方法
1 、运行以下命令,并验证返回内容,查看是否存在相关参数,且条数设置为 5 条以下。
# grep "^HISTSIZE" /etc/profile
9.1.3 修改建议
1)
加固方法:
i 、编辑 /etc/profile, 查找到的行 , 在行首添加 “#” 进行注释 , 在注释行下 添加如下:
HISTSIZE=5
2)
还原方法:
i 、查找 HISTSIZE 所在行 , 在行首去掉“ # ”注释
ii 、删除行 HISTSIZE=5
9.2 设置记录历史命令
9.2.1 说明
检查保留历史命令的记录文件大小。
9.2.2 检查方法
1 、运行以下命令,并验证返回内容,查看是否存在相关参数,且条数设置为 5 条以下。
# grep "^HISTFILESIZE" /etc/profile 33
9.2.3 修改建议
1)
加固方法:
i 、编辑 /etc/profile 查找到的行 , 在行首添加 “#” 进行注释 , 在注释行下 添加如下
HISTFILESIZE=5
2)
还原方法:
i 查找 HISTFILESIZE 所在行, 在行首去掉 “#” 注释
ii 、删除行 HISTFILESIZE =5
9.3 su 命令使用日志配置
9.3.1 说明
检查是否配置 su 命令使用情况记录。
9.3.2 检查方法
1 、存在 /etc/rsyslog.conf ,查看相关文件是否配置了如下行:
authpriv.*
/var/log/secure
9.3.3 修改建议
1)
加固方法:
1 、存在 /etc/rsyslog.conf ,添加如下行:
authpriv.*
/var/log/secure
2)
还原方法:
删除 authpriv.*
/var/log/secure 所在行
10
潜在危险
10.1 重命名 .netrc 文件
10.1.1 说明
是否删除 .netrc 文件。
10.1.2 检查方法
1 、运行以下命令并验证输出是否存在 .netrc 文件
#find / -name .netrc 2>/dev/null 34
10.1.3 修改建议
1)
加固方法:
i 、运行以下命令进行加固:
#find / -name .netrc 2>/dev/null|xargs -I {} mv {} {}.bak
2)
还原方法:
.bak 文件名改为不带 .bak
mv .netrc.bak .netrc
10.2 重命名 hosts.equiv 文件
10.2.1 说明
是否删除 hosts.equiv 文件。
10.2.2 检查方法
1 、运行以下命令并验证输出是否存在 hosts.equiv 文件
#find / -name hosts.equiv 2>/dev/null
10.2.3 修改建议
1)
加固方法:
运行以下命令进行加固:
#find / -name hosts.equiv 2>/dev/null|xargs -I {} mv {} {}.bak
2)
还原方法:
.bak 文件名改为不带 .bak
mv hosts.equiv.bak hosts.equiv
10.3 重命名 .rhosts 文件
10.3.1 说明
是否删除 .rhosts 文件。
10.3.2 检查方法
1 、运行以下命令并验证输出是否存在 .rhosts 文件
#find / -name .rhosts 2>/dev/null 35
10.3.3 修改建议
1)
加固方法:
运行以下命令进行加固:
#find / -name .rhosts 2>/dev/null|xargs -I {} mv {} {}.bak
2)
还原方法:
.bak 文件名改为不带 .bak
mv .rhosts.bak rhosts
10.4 重命名 equiv 文件
10.4.1 说明
检查是否存在 equiv 文件。
10.4.2 检查方法
1 、运行以下命令并验证输出是否存在 equiv 文件
#find / -name equiv 2>/dev/null
10.4.3 修改建议
1)
加固方法:
运行以下命令进行加固:
#find / -name equiv 2>/dev/null|xargs -I {} mv {} {}.bak
2)
还原方法:
.bak 文件名改为不带 .bak
mv equiv.bak equiv
10.5 重命名 rhosts 文件
10.5.1 说明
检查是否存在 rhosts 文件。
10.5.2 检查方法
1 、运行以下命令并验证输出是否存在 rhosts 文件
#find / -name rhosts 2>/dev/null 36
10.5.3 修改建议
1)
加固方法:
运行以下命令进行加固:
#find / -name rhosts 2>/dev/null|xargs -I {} mv {} {}.bak
2)
还原方法:
.bak 文件名改为不带 .bak
mv rhosts.bak rhosts
10.6 /etc/aliases 未禁用不必要的别名
10.6.1 说明
检查 /etc/aliases 是否禁用不必要的别名。
10.6.2 检查方法
1 、打开 /etc/aliases ,查看结果是否存在:
games: root ingres: root system: root toor: root uucp: root manager: root dumper:
root operator: root decode: root root: mar
10.6.3 修改建议
1)
加固方法:
对上述检查的结果进行屏蔽, 在行首添加 “#” 进行注释
#games: root
#ingres: root
#system: root
#toor: root
#uucp: root
#manager: root
#dumper: root
#operator: root
#decode: root
#root: marc
2)
还原方法:
去除加固时注释行前面的 “#” 37
10.7 /etc/mail/aliases 未禁用不必要的别名
10.7.1 说明
检查 /etc/mail/aliases 是否禁用不必要的别名。
10.7.2 检查方法
打开 /etc/mail/aliases ,查看结果是否存在:
games: root ingres: root system: root toor: root uucp: root manager: root dumper:
root operator: root decode: root root: mar
10.7.3 修改建议
1)
加固方法:
对上述检查的结果进行屏蔽, 在行首添加 “#” 进行注释
#games: root
#ingres: root
#system: root
#toor: root
#uucp: root
#manager: root
#dumper: root
#operator: root
#decode: root
#root: marc
2)
还原方法:
去除加固时注释行前面的 “#”
10.8 判断 chkrootkit 是否安装
10.8.1 说明
检查是否安装 chkrootkit 进行系统监测。
10.8.2 检查方法
1 、运行以下命令,并验证是否安装了 chkrootkit
#rpm -qa|grep chkrootkit
2 、如步骤 1 安装则,检查系统是否存在 rootkit 程序,运行以下命令: 38
#chkrootkit -p /home:/bin:/sbin:/usr/bin:/usr/sbin:/usr/local/bin:/usr/local/sbin
10.8.3 安装方法
1 、 配置系统运行的网络环境
2 、 如未安装则提醒用户安装,运行以下命令安装 chkrootkit 软件
#yum install chkrootkit
3 、 执行 chkrootkit -p /home:/bin:/sbin:/usr/bin:/usr/sbin:/usr/local/bin:/usr/local/sbin, 检查
是否存在 rootkit 程序,并把疑似 rootkit 的程序输入到
/var/log/security_reinforce_chkrootkit.log 中。
11
系统设置
11.1 su 命令的访问限制
11.1.1 说明
检查是否使用 PAM 认证模块禁止 wheel 组之外的用户 su root
11.1.2 检查方法
1 、运行以下命令并验证输出是否包含匹配行:
# grep pam_wheel.so /etc/pam.d/su
auth required pam_wheel.so
运行以下命令并验证控制盘组中的用户是否与站点策略匹配:
# grep wheel /etc/group
wheel:x:10:root,
11.1.3 修改建议
1)
加固方法:
etc/pam.d/su 中添加如下行
auth required pam_wheel.so group=wheel
2)
还原方法:
etc/pam.d/su 中删除如下行
auth required pam_wheel.so group=wheel
11.2 限制 core dump
11.2.1 说明
检查系统 core dump 设置。 39
11.2.2 检查方法
1 、运行以下命令并验证输出是否匹配:
# grep "hard core" /etc/security/limits.conf /etc/security/limits.d/*
* hard core 0
# grep "hard core" /etc/security/limits.conf /etc/security/limits.d/*
* soft core 0
11.2.3 修改建议
1)
加固方法:
/etc/security/limits.conf 文件中添加以下行:
* hard core 0
* soft core 0
重启生效
2)
还原方法:
/etc/security/limits.conf 文件中删除以下行:
* hard core 0
* soft core 0
重启生效
11.3 禁用 ctrl+alt+delete
11.3.1 说明
检查系统是否禁用 ctrl+alt+del 组合键。
11.3.2 检查方法
使用如下命令查看 logout defualt 设置是否为””
#gsettings get org.mate.SettingsDaemon.plugins.media-keys logout
11.3.3 修改建议
1)
加固方法:
gsettings set org.mate.SettingsDaemon.plugins.media-keys logout '' 。用户注销后
再登陆,对当前用户生效
2)
还原方法:
命令行执行 gsettings set org.mate.SettingsDaemon.plugins.media-keys logout
'Delete' 。用户注销后再登陆,对当前用户均生效 40
11.4 设置空闲锁屏时间
11.4.1 说明
检查是否配置定时自动屏幕锁定(适用于具备图形界面的设备)。
11.4.2 检查方法
运行以下命令并验证锁屏时间,看是否小于等于 15 分钟
#gsettings get org.mate.session idle-delay
11.4.3 修改建议
1)
加固方法:
命令行执行 gsettings set org.mate.session idle-delay 15
生效方式是 :用户注销后再重新登录,对当前用户生效。
2)
还原方法:
命令行执行 gsettings set org.mate.session idle-delay 原始值。
生效方式是 :用户注销后再重新登录,对当前用户生效。
11.5 启用屏保
11.5.1 说明
检查是否配置定时自动屏幕锁定(适用于具备图形界面的设备)。
11.5.2 检查方法
运行以下命令并验证是否启用 , 结果为 blank-only 说明已启用
gsettings get org.ukui.screensaver mode
11.5.3 修改建议
1)
加固方法:
命令行执行 gsettings set org.ukui.screensaver mode blank-only
生效方式是 :用户注销后再重新登录,对当前用户生效。
2)
还原方法:
命令行执行 gsettings set org.ukui.screensaver mode 原始值。
生效方式是 :用户注销后再重新登录,对当前用户生效。 41
11.6 用户会话超时设置
11.6.1 说明
检查是否设置命令行界面超时退出。
11.6.2 检查方法
运行以下命令,并验证返回的所有 TMOUT 行都不超过 600 秒,文件存在一行。
# grep "^TMOUT" /etc/profile
export TMOUT=600
11.6.3 修改建议
1)
加固方法:
i 、 编辑 /etc/profile 文件添加如下行:
export TMOUT=600
ii 、运行如下命令:
source /etc/profile
2)
还原方法:
i 、 编辑 /etc/profile 文件并按如下方式删除 TMOUT 所在行
export TMOUT=600
ii 、 运行如下命令:
source /etc/profile
11.7 grub 引导设置密码
11.7.1 说明
检查是否设置系统引导管理器密码。
11.7.2 检查方法
运行以下命令,并验证 grub 是否设置了密码:
# grep "password_pbkdf2" | grep "grub.pbkdf2"
11.7.3 修改建议
1)
加固方法:
i 、运行以下命令进行加固:
# grub-mkpasswd-pbkdf2 42
Enter password : 《《《这里输入你的 grub 密码
Reenter password : 《《《这里输入你的 grub 密码
Your PBKDF2 is
grub.pbkdf2.sha512.10000.BC4D0A450E86EE447561FC822C832xxxxxxxxxxxxx4557
2D3B4E40500CE
ii 、在 /etc/grub2/grub.cfg 中添加如下行:
set superusers=“root”
password_pbkdf2 root
grub.pbkdf2.sha512.10000.BC4D0A450E86EE447561FC822C832xxxxxxxxxxxxx4557
2D3B4E40500CE
2)
还原方法:
/etc/grub2/grub.cfg 中把加固时(步骤 ii )新增的行全部删除。
12
文件权限
12.1 默认用户 umask 027 或更严格
12.1.1 说明
检查用户目录缺省访问权限设置。
12.1.2 检查方法
1 、 使用 umask 命令查看当前 umask
2 、 若 umask 值不为 027 ,则查看 /etc/bashrc 文件中是否包含对应 umask
12.1.3 修改建议
1)
加固方法:
1 、 编辑 /etc/bashrc 并添加或编辑 umask 参数如下:
umask 027
2 、 重启生效
2)
还原方法:
i . 编辑 /etc/bashrc 并删除或编辑 umask 参数为之前的修改值
ii .重启生效 43
12.2 配置重要目录文件的权限
12.2.1 说明
检查重要目录或文件权限设置。
12.2.2 目录文件 - 权限列表
/etc/rc.d/init.d/ 750 /etc/xinetd.conf 600 /etc/rc5.d/ 750 /etc/rc4.d 750 /etc/security 600
/etc/shadow 600 /etc/passwd 644 /etc/grub.conf 600 /boot/grub/grub.conf 600 /etc/lilo.conf
600 /etc/grub2.cfg 600 /boot/grub2/grub.cfg 600 /etc/rc0.d/ 750 /etc/rc6.d 750 /etc/rc1.d/ 750
/etc/rc2.d/ 750 /etc/group 644 /etc/services 644 /etc/rc3.d 750 ;。
12.2.3 检查方法
1 、运行以下命令并访问权限是否符合上述文件目录权限或者更严
# stat < 目录 >
12.2.4 修改建议
1)
加固方法:
运行以下命令设置文件目录的权限:
# chmod < 权限 > < 文件目录名称 >
2)
还原方法:
运行以下命令设置成加固前 stat 命令查询出来的文件目录的权限:
# chmod < 权限 > < 文件目录名称 >
12.3 配置日志配置文件默认文件目录权限
12.3.1 说明
检查日志配置文件默认文件目录权限。
12.3.2 检查方法
1 、存在 /etc/rsyslog.conf
运行以下命令并验证 $FileCreateMode 是否具有 0640 或更高的限制,
# grep ^$FileCreateMode /etc/rsyslog.conf /etc/rsyslog.d/*.conf
运行以下命令并验证 $DirCreateMode 是否具有 0755 或更高的限制,
# grep ^$DirCreateMode /etc/rsyslog.conf /etc/rsyslog.d/*.conf 44
12.3.3 修改建议
1)
加固方法:
存在 /etc/rsyslog.conf
编辑 /etc/rsyslog.conf 文件,把查找到的行 在行首添加 “#” 进行注释,在注释行之后
添加以下内容, $FileCreateMode 设置为 0640 或更严格 ,$DirCreateMode 设置为
0755 或更严格:
$FileCreateMode 0640
$DirCreateMode 0755
2)
还原方法:
把加固时新增的行全部删除,去掉查找到的行 的行首的 “#”
12.4 日志文件权限加固
12.4.1 说明
检查日志文件权限设置。
12.4.1 日志文件
/var/log/mail /var/log/boot.log /var/log/localmessages /var/log/secure /var/log/messages
/var/log/cron /var/log/spooler /var/log/maillog
12.4.2 检查方法
运行以下命令并访问权限,确认是否满足文件 other 用户不可写
# stat < 目录 >
12.4.3 修改建议
1)
加固方法:
other 用户可写则运行以下命令设置文件的权限:
# chmod <644> < 文件目录名称 >
2)
还原方法:
运行以下命令设置成之前 stat 命令查询出来的文件目录的权限:
# chmod < 权限 > < 文件目录名称 > 45
12.5 配置 ftp 服务器 umask
12.5.1 说明
检查 FTP 用户上传的文件所具有的权限。
12.5.2 检查方法
1 、存在 /etc/vsftpd/vsftpd.conf 查看其参数 local_umask 是否是 022 或者更严。
12.5.3 修改建议
1)
加固方法:
存在 /etc/vsftpd/vsftpd.conf ,添加如下行:
local_umask 022
2)
还原方法:
/etc/vsftpd/vsftpd.conf ,删除如下行:
local_umask 022
12.6 配置 ftp 服务器用户访问权限
12.6.1 说明
检查并配置配置 ftp 服务器用户访问权限。
12.6.2 检查方法
1. 存在 /etc/vsftpd/vsftpd.conf 查看是否配置 chroot_local_user=YES
allow_writeable_chroot = YES
12.6.3 修改建议
1)
加固方法:
i 、在 /etc/vsftpd/vsftpd.conf 文件中找到配置项所在行, 把查找到的行在行首添加 “#”
进行注释,在注释行之后添加以下内容
chroot_local_user=YES
allow_writeable_chroot = YES
如需要写权限需要再配置:
write_enable=YES
ii 、重启 vsftp 服务
systemctl restart vsftp 46
2)
还原方法:
i 、在 /etc/vsftpd/vsftpd.conf 文件中,找到加固配置项所在行, 把查找到的行在行首
“#” 进行删除,把加固时新增的内容删除。
ii 、重启 vsftp 服务
systemctl restart vsftp
13
磁盘检查
13.1 系统磁盘扩容
13.1.1 说明
检查系统磁盘分区使用率。
13.1.2 检查方法
1 、运行以下命令,并验证返回磁盘空间是否超过 80%
# df -h |grep -w '/' |awk '{print $5}'|awk -F '%' '{print $1}'
13.1.3 修改建议
1)
加固方法:
如存在磁盘使用率超过 80% 的则提醒用户扩容。
13.2 tripwire 加固
13.2.1 说明
文件系统和磁盘完整性校验。
13.2.2 检查方法
1 、运行以下命令,并验证是否安装了 tripwire
#rpm -qa|grep tripwire
13.2.3 修改建议
1)
加固方法:
如未安装则提醒用户安装。 47
14
资源分配
14.1 quota 加固
14.1.1 说明
应以每个用户或每个用户组为基础,提供一种机制,控制其对磁盘的消耗和对CPU等
资源的使用。
14.1.2 检查方法
1 、运行以下命令,并验证是否安装了 quota
#rpm -qa|grep quota
14.1.3 修改建议
1)
加固方法:
如未安装则提醒用户安装。
14.2 cgroup 加固
14.2.1 说明
应以每个用户或每个用户组为基础,提供一种机制,控制其对磁盘的消耗和对 CPU
资源的使用。
14.2.2 检查方法
1 、运行以下命令,并验证是否安装了 libcgroup
#rpm -qa|grep libcgroup
14.2.3 修改建议
1)
加固方法:
如未安装则提醒用户安装。
15
系统维护
15.1 grub 维护模式设置
15.1.1 说明
应提供维护模式中运行系统的能力,在维护模式下各种安全功能全部失效。系统仅允许
系统管理员进入维护模式。 48
15.1.2 检查方法
1 、若系统为 uboot 引导,运行以下命令并验证输出是否匹配:
# cat -n /boot/grub2/grub.cfg|sed -n ‘/rescue/,/}/p’|grep vmlinuz|grep “init=”
2 、若系统为 uefi 引导,运行以下命令并验证输出是否匹配:
# cat -n /boot/efi/EFI/kylin/grub.cfg|sed -n ‘/rescue/,/}/p’|grep vmlinuz|grep “init=”
15.1.3 修改建议
1)
加固方法:
/boot/grub2/grub.cfg 或者 /boot/efi/EFI/kylin/grub.cfg 文件里,查找到匹配行后,把
查找到的行在行首添加“ # ”进行注释,在注释行之后添加以下内容。
如:
linux/vmlinuz-0-rescue-6538b46541e04ca29dece0eabc82d725
root=/dev/mapper/klas-root rw resume=/dev/mapper/klas-swap rd.lvm.lv=klas/root
rd.lvm.lv=klas/swap rhgb quiet crashkernel=1024M,high init=/bin/bash
2)
还原方法:
/boot/grub2/grub.cfg 或者 /boot/efi/EFI/kylin/grub.cfg 文件里,查找到匹配行后,去
掉行前的“ # ”,再把加固时增加的行删除。

本文地址:https://www.vps345.com/8698.html

上一篇:网络日志分析场景三:服务器陷落
下一篇:mcp:打造极致用户体验的官方模型上下文协议服务···
[2025-05-06]

ONNXRUNTIME C++安装配置(Ubuntu22.04···

[2025-05-06]

CentOS修改SSH远程端口(详细教程)

[2025-05-06]

在ubuntu20.04(ROS noetic版)上做movei···

[2025-05-06]

Linux 下安装miniconda(少走弯路)

[2025-05-06]

在 Linux 上安装 Rime 输入法:完整指南···

[2025-05-06]

ONNXRUNTIME C++安装配置(Ubuntu22.04···

[2025-05-06]

CentOS修改SSH远程端口(详细教程)

[2025-05-06]

在ubuntu20.04(ROS noetic版)上做movei···

[2025-05-06]

Linux 下安装miniconda(少走弯路)

[2025-05-06]

在 Linux 上安装 Rime 输入法:完整指南···

搜索文章

最新文章

2025-05-06

ONNXRUNTIME C++安装配置(Ubuntu22.04、cuda11.8、···
2025-05-06

CentOS修改SSH远程端口(详细教程)
2025-05-06

【Linux】:多线程(POSIX 信号量 、基于环形队列的···
2025-05-06

在ubuntu20.04(ROS noetic版)上做moveit的gazebo仿真···
2025-05-06

Linux 下安装miniconda(少走弯路)

热门文章

2024-01-24

香港站群服务器如何利用CN2线路实现高速稳定连接?
2024-01-24

如何通过香港站群服务器的大带宽优势提升网站性能
2024-01-25

网站如何根据同时在线人数计算流量带宽
2024-01-26

什么是服务器上行带宽?服务器上行传输速率过大是什···
2024-01-30

服务器怎么防御CC攻击,服务器遭遇CC攻击怎么办?

所有分类

帮助文档 (3423) 香港服务器 (2162) 美国服务器 (3015) 香港站群服务器 (0) 美国站群服务器 (0)

Tags

PV计算 带宽计算 流量带宽 服务器带宽 上行带宽 上行速率 什么是上行带宽? CC攻击 攻击怎么办 流量攻击 DDOS攻击 服务器被攻击怎么办 源IP 服务器 linux 运维 游戏 云计算 英语 javascript 前端 chrome edge macos windows conda ubuntu 数据库 centos oracle 关系型 安全 分布式 llama 算法 opencv 自然语言处理 神经网络 语言模型 阿里云 网络 网络安全 网络协议 docker java 容器 笔记 ssh deepseek Ollama 模型联网 API CherryStudio 进程 操作系统 进程控制 Ubuntu php 人工智能 python MCP 学习方法 经验分享 学习 Dify harmonyos 华为 开发语言 typescript 计算机网络 大数据 spark hive tomcat jenkins gitee spring boot fstab 数据分析 开发环境 asm vscode C# MQTTS 双向认证 emqx adb json jellyfin nas nginx 负载均衡 openvpn server openvpn配置教程 centos安装openvpn debian PVE c++ 并查集 leetcode RTSP xop RTP RTSPServer 推流 视频 机器学习 tcp/ip 科技 ai 个人开发 mysql android rtsp服务器 rtsp server android rtsp服务 安卓rtsp服务器 移动端rtsp服务 大牛直播SDK rust http Linux 进程信号 持续部署 xcode ide 互信 HarmonyOS Next DevEco Studio Qwen2.5-coder 离线部署 集成学习 集成测试 fastapi mcp mcp-proxy mcp-inspector fastapi-mcp agent sse k8s kubernetes 自动化 spring pip pycharm pytorch 计算机外设 电脑 mac 软件需求 vue.js audio vue音乐播放器 vue播放音频文件 Audio音频播放器自定义样式 播放暂停进度条音量调节快进快退 自定义audio覆盖默认样式 高级IO epoll ue5 vr word图片自动上传 word一键转存 复制word图片 复制word图文 复制word公式 粘贴word图文 粘贴word公式 ui 华为云 华为od ip命令 新增网卡 新增IP 启动网卡 多线程 ssl 深度学习 计算机视觉 卷积神经网络 vnc YOLO 目标检测 Docker Hub docker pull 镜像源 daemon.json 前端框架 sublime text 编辑器 数据结构 c语言 efficientVIT YOLOv8替换主干网络 TOLOv8 filezilla 无法连接服务器 连接被服务器拒绝 vsftpd 331/530 智能路由器 外网访问 内网穿透 端口映射 git elasticsearch 网络药理学 生信 生物信息学 gromacs 分子动力学模拟 MD 动力学模拟 llm transformer 聚类 嵌入式 linux驱动开发 arm开发 嵌入式硬件 GaN HEMT 氮化镓 单粒子烧毁 辐射损伤 辐照效应 云原生 ip 小程序 微信小程序域名配置 微信小程序服务器域名 微信小程序合法域名 小程序配置业务域名 微信小程序需要域名吗 微信小程序添加域名 unix redis vue3 HTML audio 控件组件 vue3 audio音乐播放器 Audio标签自定义样式默认 vue3播放音频文件音效音乐 自定义audio播放器样式 播放暂停调整声音大小下载文件 protobuf 序列化和反序列化 安装 powerpoint dify ip协议 numpy 游戏程序 ios ollama 私有化 本地部署 java-ee EtherCAT转Modbus ECT转Modbus协议 EtherCAT转485网关 ECT转Modbus串口网关 EtherCAT转485协议 ECT转Modbus网关 开源 github 实时音视频 实时互动 Alexnet 物联网 mcu iot 信息与通信 产品经理 agi microsoft vim 架构 etcd 数据安全 RBAC windows 服务器安装 运维开发 websocket c# 创意 社区 媒体 鸿蒙 cron crontab日志 Flask FastAPI Waitress Gunicorn uWSGI Uvicorn gnu 单片机 eureka MacOS录屏软件 虚拟机 VMware 面试 性能优化 jdk intellij-idea 宝塔面板访问不了 宝塔面板网站访问不了 宝塔面板怎么配置网站能访问 宝塔面板配置ip访问 宝塔面板配置域名访问教程 宝塔面板配置教程 Dell R750XS 思科 sql KingBase 博客 指令 ESXi AI编程 html kali 共享文件夹 CPU 内存 主板 电源 网卡 Samba NAS oceanbase rc.local 开机自启 systemd 麒麟 Doris搭建 docker搭建Doris Doris搭建过程 linux搭建Doris Doris搭建详细步骤 Doris部署 list 模拟实现 svn ollama下载加速 大模型 kafka uni-app linux安装配置 设置代理 实用教程 银河麒麟 kylin v10 麒麟 v10 后端 kylin 智能手机 Termux 安卓 threejs 3D 中兴光猫 换光猫 网络桥接 自己换光猫 express p2p udp postman mock mock server 模拟服务器 mock服务器 Postman内置变量 Postman随机数据 .netcore LDAP WebUI DeepSeek V3 DeepSeek AI大模型 监控 自动化运维 权限 fpga开发 qt QT 5.12.12 QT开发环境 Ubuntu18.04 音视频 安防软件 鸿蒙系统 机器人 IIS服务器 IIS性能 日志监控 腾讯云 maven intellij idea minicom 串口调试工具 测试工具 fd 文件描述符 log4j apache 云桌面 微软 AD域控 证书服务器 dubbo bash burpsuite 安全工具 mac安全工具 burp安装教程 渗透工具 stm32 ansible maxkb ARG mq rabbitmq rocketmq rpc windwos防火墙 defender防火墙 win防火墙白名单 防火墙白名单效果 防火墙只允许指定应用上网 防火墙允许指定上网其它禁止 微信 微信分享 Image wxopensdk WSL2 Ubuntu22.04 虚拟化 开发人员主页 Linux的权限 sqlserver rust腐蚀 键盘 链表 selenium 远程工作 隐藏文件 隐藏目录 文件系统 管理器 通配符 .net burp suite 抓包 WLAN ESP32 node.js NFS prometheus 监控k8s 监控kubernetes 豆瓣 追剧助手 迅雷 gpu算力 golang 低代码 aws googlecloud MQTT协议 消息服务器 代码 AI 爬虫 数据集 vSphere vCenter 软件定义数据中心 sddc rime jmeter 软件测试 bug HCIE 数通 基础环境 安装教程 GPU环境配置 Ubuntu22 CUDA PyTorch Anaconda安装 Agent LLM CrewAI edge浏览器 gateway Clion Nova ResharperC++引擎 Centos7 远程开发 AI写作 程序员创富 监控k8s集群 集群内prometheus pillow 命名管道 客户端与服务端通信 live555 rtsp rtp html5 firefox kamailio sip VoIP WSL2 上安装 Ubuntu 大数据平台 5G 3GPP 卫星通信 WSL win11 无法解析服务器的名称或地址 RAGFLOW vmware 卡死 Cline 自动化编程 gcc centos 7 openwrt https ssh漏洞 ssh9.9p2 CVE-2025-23419 远程 命令 执行 sshpass 操作 ros2 moveit 机器人运动 rancher 进程优先级 调度队列 进程切换 ai小智 语音助手 ai小智配网 ai小智教程 智能硬件 esp32语音助手 diy语音助手 selete postgresql webstorm VMware创建虚拟机 yum docker-compose docker compose wireshark 显示过滤器 ICMP Wireshark安装 linux环境变量 matplotlib fonts-noto-cjk ux 视觉检测 环境配置 程序人生 缓存 强制清理 强制删除 mac废纸篓 数据挖掘 网络用户购物行为分析可视化平台 大数据毕业设计 1024程序员节 Windsurf C 环境变量 进程地址空间 chatgpt 代码调试 ipdb visual studio code web安全 中间件 iis xml 多线程服务器 Linux网络编程 spring cloud FTP 服务器 DeepSeek-R1 API接口 nftables 防火墙 源码剖析 rtsp实现步骤 流媒体开发 docker搭建pg docker搭建pgsql pg授权 postgresql使用 postgresql搭建 无人机 远程控制 远程看看 远程协助 alias unalias 别名 jar gradle 大模型技术 本地部署大模型 linux上传下载 cpu 实时 使用 硬件工程 僵尸进程 flutter Hyper-V WinRM TrustedHosts flask AIGC VMware安装Ubuntu Ubuntu安装k8s KylinV10 麒麟操作系统 Vmware 串口服务器 VMware安装mocOS macOS系统安装 C语言 ipython compose Ubuntu共享文件夹 共享目录 Linux共享文件夹 政务 分布式系统 监控运维 Prometheus Grafana DigitalOcean GPU服务器购买 GPU服务器哪里有 GPU服务器 Hive环境搭建 hive3环境 Hive远程模式 iBMC UltraISO 虚拟局域网 Kali Linux 黑客 渗透测试 信息收集 mount挂载磁盘 wrong fs type LVM挂载磁盘 Centos7.9 压测 ECS flash-attention 报错 camera Arduino 电子信息 域名服务 DHCP 符号链接 配置 深度求索 私域 知识库 系统开发 binder 车载系统 framework 源码环境 tcpdump 系统架构 微服务 设计模式 软件工程 课程设计 腾讯云大模型知识引擎 Deepseek perf linux内核 Linux PID 主从复制 安卓模拟器 iperf3 带宽测试 Ubuntu Server Ubuntu 22.04.5 docker搭建nacos详解 docker部署nacos docker安装nacos 腾讯云搭建nacos centos7搭建nacos gitlab Reactor C++ 本地环回 bind dell服务器 go 代理模式 虚拟现实 JAVA Java 开发 YOLOv12 milvus iftop 网络流量监控 react.js 前端面试题 CLion 远程连接 IDE ubuntu20.04 ros ros1 Noetic 20.04 apt 安装 YOLOv8 NPU Atlas800 A300I pro asi_bench firewalld 读写锁 UOS 统信操作系统 mybatis 统信UOS bonding 链路聚合 迁移指南 llama3 Chatglm 开源大模型 路径解析 windows日志 unity ping++ ddos stm32项目 向日葵 rag ragflow ragflow 源码启动 Portainer搭建 Portainer使用 Portainer使用详解 Portainer详解 Portainer portainer virtualenv zotero WebDAV 同步失败 ue4 着色器 虚幻 mongodb 目标跟踪 OpenVINO 推理应用 ffmpeg cuda cudnn anaconda springcloud 温湿度数据上传到服务器 Arduino HTTP 工业4.0 飞牛nas fnos 客户端 playbook 剧本 OpenManus bcompare Beyond Compare DNS AI-native Docker Desktop django c/c++ 串口 eclipse 热榜 图像处理 游戏引擎 visual studio NLP模型 NLP 策略模式 单例模式 yolov5 计算生物学 生物信息 基因组 安全架构 安全威胁分析 蓝桥杯 grafana 系统安全 王者荣耀 微信小程序 miniapp 真机调试 调试 debug 断点 网络API请求调试方法 功能测试 自动化测试 apt 国内源 minio 跨域 jetty undertow Linux无人智慧超市 LInux多线程服务器 QT项目 LInux项目 单片机项目 vue 边缘计算 wsl 用户缓冲区 远程登录 telnet pdf 办公自动化 自动化生成 pdf教程 毕昇JDK 大语言模型 xpath定位元素 上传视频至服务器代码 vue3批量上传多个视频并预览 如何实现将本地视频上传到网页 element plu视频上传 ant design vue vue3本地上传视频及预览移除 支付 微信支付 开放平台 bat 服务器繁忙 远程桌面 显示管理器 lightdm gdm 交换机 硬件 设备 GPU PCI-Express MNN Qwen SenseVoice top Linux top top命令详解 top命令重点 top常用参数 大模型部署 Ubuntu DeepSeek DeepSeek Ubuntu DeepSeek 本地部署 DeepSeek 知识库 DeepSeek 私有化知识库 本地部署 DeepSeek DeepSeek 私有化部署 zabbix linux 命令 sed 命令 SSH cocoapods 半虚拟化 硬件虚拟化 Hypervisor Erlang OTP gen_server 热代码交换 事务语义 okhttp devops springboot 灵办AI 职场和发展 kvm 版本 软链接 硬链接 游戏机 hugo nlp Netty 即时通信 NIO yolov8 压力测试 SWAT 配置文件 服务管理 网络共享 SSH 服务 SSH Server OpenSSH Server gaussdb GameFramework HybridCLR Unity编辑器扩展 自动化工具 单元测试 ruoyi Kali 渗透 pgpool DeepSeek行业应用 Heroku 网站部署 npm 端口测试 自动化任务管理 田俊楠 AutoDL AI作画 prompt 图形化界面 DIFY 网络爬虫 换源 Debian outlook micropython esp32 mqtt 推荐算法 思科模拟器 Cisco 蓝耘科技 元生代平台工作流 ComfyUI nuxt3 Qualcomm WoS Python QNN AppBuilder sqlite TrueLicense openssl 密码学 trea idea 文心一言 模拟退火算法 wsl2 其他 浏览器自动化 tensorflow Cookie r语言 数据可视化 Xinference RAGFlow trae 算力 计算机 程序员 Jellyfin GCC crosstool-ng tcp 硬件架构 多层架构 解耦 高效远程协作 TrustViewer体验 跨设备操作便利 智能远程控制 免费域名 域名解析 jupyter hibernate docker命令大全 ci/cd rustdesk IO DocFlow ubuntu24 vivado24 社交电子 notepad 数据库系统 宝塔面板 同步 备份 建站 hadoop vscode 1.86 大模型入门 大模型教程 鲲鹏 昇腾 npu 直流充电桩 充电桩 Open WebUI tar IPMI 3d W5500 OLED u8g2 TCP服务器 SEO redhat OD机试真题 华为OD机试真题 服务器能耗统计 chfs ubuntu 16.04 分析解读 上传视频文件到服务器 uniApp本地上传视频并预览 uniapp移动端h5网页 uniapp微信小程序上传视频 uniapp app端视频上传 uniapp uview组件库 漏洞 kind k8s集群资源管理 云原生开发 unity3d elk axure 富文本编辑器 arm 网络穿透 云服务器 火绒安全 信号 Nuxt.js Xterminal android studio 大文件分片上传断点续传及进度条 如何批量上传超大文件并显示进度 axios大文件切片上传详细教 node服务器合并切片 vue3大文件上传报错提示错误 vu大文件秒传跨域报错cors pygame 智能音箱 智能家居 群晖 弹性计算 裸金属服务器 弹性裸金属服务器 Helm k8s集群 RoboVLM 通用机器人策略 VLA设计哲学 vlm fot robot 视觉语言动作模型 具身智能 openEuler 嵌入式系统开发 大模型面经 大模型学习 致远OA OA服务器 服务器磁盘扩容 AnythingLLM AnythingLLM安装 ocr zip unzip CORS Linux awk awk函数 awk结构 awk内置变量 awk参数 awk脚本 awk详解 雨云 NPS 飞书 dns MacMini Mac 迷你主机 mini Apple uniapp 宠物 毕业设计 免费学习 宠物领养 宠物平台 繁忙 解决办法 替代网站 汇总推荐 AI推理 恒源云 实习 powerbi 信息可视化 css 小艺 Pura X dba excel 智慧农业 开源鸿蒙 团队开发 c 磁盘清理 qemu libvirt conda配置 conda镜像源 WebVM 能力提升 面试宝典 技术 IT信息化 oneapi 大模型微调 流水线 脚本式流水线 话题通信 服务通信 IM即时通讯 QQ 企业微信 剪切板对通 HTML FORMAT Linux 维护模式 MQTT 消息队列 saltstack gpt matlab 传统数据库升级 银行 LLMs embedding 搜索引擎 华为认证 网络工程师 移动云 MS Materials firewall 业界资讯 EtherNet/IP串口网关 EIP转RS485 EIP转Modbus EtherNet/IP网关协议 EIP转RS485网关 EIP串口服务器 金仓数据库 2025 征文 数据库平替用金仓 code-server mosquitto x64 SIGSEGV SSE xmm0 稳定性 看门狗 Typore VR手套 数据手套 动捕手套 动捕数据手套 XCC Lenovo java-rabbitmq AISphereButler ssh远程登录 shell virtualbox 输入法 av1 电视盒子 机顶盒ROM 魔百盒刷机 信号处理 nfs echarts 网页设计 vpn 数学建模 部署 SSL 域名 skynet 镜像下载 freebsd 网络结构图 neo4j 数据仓库 数据库开发 数据库架构 database 交互 交叉编译 docker run 数据卷挂载 交互模式 ArkTs ArkUI Java Applet URL操作 服务器建立 Socket编程 网络文件读取 less 自动驾驶 LORA remote-ssh 驱动开发 TCP WebServer 国产操作系统 ukui 麒麟kylinos openeuler 视频编解码 keepalived 统信 虚拟机安装 小番茄C盘清理 便捷易用C盘清理工具 小番茄C盘清理的优势尽显何处? 教你深度体验小番茄C盘清理 C盘变红?!不知所措? C盘瘦身后电脑会发生什么变化? sonoma 自动更新 Google pay Apple pay 框架搭建 技能大赛 Mac内存不够用怎么办 RustDesk自建服务器 rustdesk服务器 docker rustdesk 黑客技术 web3.py URL 强化学习 chrome devtools chromedriver web VPS pyqt etl ArcTS 登录 ArcUI GridItem EasyConnect arkUI 网络攻击模型 lsb_release /etc/issue /proc/version uname -r 查看ubuntu版本 n8n dity make db eNSP 网络规划 VLAN 企业网络 big data kernel opensearch helm 服务器主板 AI芯片 网络管理 软考 2024 2024年上半年 下午真题 答案 MI300x 孤岛惊魂4 Cursor WebRTC gpt-3 RTMP 应用层 网络编程 聊天服务器 套接字 Socket export import save load 迁移镜像 webrtc IPMITOOL BMC 硬件管理 opcua opcda KEPServer安装 open webui string模拟实现 深拷贝 浅拷贝 经典的string类问题 三个swap 游戏服务器 TrinityCore 魔兽世界 k8s资源监控 annotations自动化 自动化监控 监控service 监控jvm HarmonyOS OpenHarmony SSL证书 实战案例 searxng CosyVoice adobe Docker引擎已经停止 Docker无法使用 WSL进度一直是0 镜像加速地址 文件分享 VSCode fork wait waitpid exit 云服务 odoo 服务器动作 Server action 雨云服务器 可信计算技术 ruby 智能电视 su sudo springsecurity6 oauth2 授权服务器 token sas 线程 Ark-TS语言 cfssl Docker Compose 崖山数据库 YashanDB 图形渲染 拓扑图 Ubuntu 24.04.1 轻量级服务器 小游戏 五子棋 can 线程池 asp.net大文件上传 asp.net大文件上传下载 asp.net大文件上传源码 ASP.NET断点续传 asp.net上传文件夹 asp.net上传大文件 .net core断点续传 sdkman 相机 毕设 TRAE 服务器数据恢复 数据恢复 存储数据恢复 raid5数据恢复 磁盘阵列数据恢复 Playwright mamba visualstudio 银河麒麟操作系统 国产化 P2P HDLC nac 802.1 portal nvidia 虚拟显示器 服务器部署ai模型 sqlite3 健康医疗 互联网医院 rsyslog cmos Anolis nginx安装 环境安装 linux插件下载 双系统 GRUB引导 Linux技巧 三级等保 服务器审计日志备份 重启 排查 系统重启 日志 原因 程序 编程 性能分析 python2 ubuntu24.04 mysql离线安装 ubuntu22.04 mysql8.0 Trae AI 原生集成开发环境 Trae AI RAID RAID技术 磁盘 存储 源码 嵌入式实习 混合开发 JDK lb 协议 centos-root /dev/mapper yum clean all df -h / du -sh wps 考研 onlyoffice 在线office 流式接口 京东云 api yaml Ultralytics 可视化 联想开天P90Z装win10 命令行 基础入门 HarmonyOS NEXT 原生鸿蒙 Kylin-Server 服务器安装 ceph bootstrap AI代码编辑器 ecmascript nextjs react reactjs 7z 树莓派 VNC 大文件秒传跨域报错cors 网工 显卡驱动 通信工程 毕业 ssrf 失效的访问控制 OpenSSH 宕机切换 服务器宕机 chrome 浏览器下载 chrome 下载安装 谷歌浏览器下载 本地部署AI大模型 idm Linux24.04 deepin 金融 seatunnel xrdp MySql 数据管理 数据治理 数据编织 数据虚拟化 序列化反序列化 Web应用服务器 Deepseek-R1 私有化部署 推理模型 jina IPv4 子网掩码 公网IP 私有IP SSH 密钥生成 SSH 公钥 私钥 生成 产测工具框架 IMX6ULL 管理框架 cnn 邮件APP 免费软件 Linux的基础指令 环境迁移 thingsboard DBeaver composer 飞牛 飞牛NAS 飞牛OS MacBook Pro harmonyOS面试题 Vmamba mariadb 相差8小时 UTC 时间 springboot远程调试 java项目远程debug docker远程debug java项目远程调试 springboot远程 CentOS Stream CentOS netty IIS .net core Hosting Bundle .NET Framework vs2022 AP配网 AK配网 小程序AP配网和AK配网教程 WIFI设备配网小程序UDP开 XFS xfs文件系统损坏 I_O error 直播推流 区块链 状态管理的 UDP 服务器 Arduino RTOS gitea 微信公众平台 risc-v lio-sam SLAM uv ubuntu24.04.1 banner Invalid Host allowedHosts rdp 实验 自学笔记 小米 澎湃OS Android 多进程 Wi-Fi HiCar CarLife+ CarPlay QT RK3588 make命令 makefile文件 Node-Red 编程工具 流编程 执法记录仪 智能安全帽 smarteye 镜像 Redis Desktop SysBench 基准测试 rnn 服务器时间 ebpf uprobe fast KVM curl wget 云电竞 云电脑 todesk ROS2 工作流 workflow 像素流送api 像素流送UE4 像素流送卡顿 像素流送并发支持 图片增强 增强数据 MCP server C/S rclone AList webdav fnOS ROS 深度优先 图论 并集查找 换根法 树上倍增 .net mvc断点续传 Minecraft DOIT 四博智联 arcgis Dell HPE 联想 浪潮 iDRAC R720xd easyui langchain 宝塔面板无法访问 k8s二次开发 集群管理 矩阵 开机黑屏 服务器管理 配置教程 网站管理 国产数据库 瀚高数据库 数据迁移 下载安装 pyautogui ShenTong 开机自启动 yum源切换 更换国内yum源 磁盘监控 服务器配置 bot Docker next.js 部署next.js 软件构建 聊天室 UOS1070e CH340 串口驱动 CH341 uart 485 safari 系统 代码托管服务 历史版本 下载 代理 RAG 检索增强生成 文档解析 大模型垂直应用 测试用例 微信开放平台 微信公众号配置 file server http server web server muduo X11 Xming 宝塔 模拟器 教程 银河麒麟服务器操作系统 系统激活 网站搭建 serv00 DeepSeek r1 cd 目录切换 FunASR ASR 医疗APP开发 app开发 计算虚拟化 弹性裸金属 qt5 客户端开发 网络建设与运维 cursor frp 阻塞队列 生产者消费者模型 服务器崩坏原因 grub 版本升级 扩容 嵌入式Linux IPC ISO镜像作为本地源 游戏开发 EMUI 回退 降级 升级 ranger MySQL8.0 PX4 李心怡 MDK 嵌入式开发工具 论文笔记 多端开发 智慧分发 应用生态 鸿蒙OS docker部署翻译组件 docker部署deepl docker搭建deepl java对接deepl 翻译组件使用 离线部署dify USB转串口 g++ g++13 docker部署Python 磁盘镜像 服务器镜像 服务器实时复制 实时文件备份 我的世界服务器搭建 minecraft jvm HTTP 服务器控制 ESP32 DeepSeek dns是什么 如何设置电脑dns dns应该如何设置 银河麒麟桌面操作系统 Kylin OS 企业网络规划 华为eNSP xss 在线预览 xlsx xls文件 在浏览器直接打开解析xls表格 前端实现vue3打开excel 文件地址url或接口文档流二进 分布式训练 元服务 应用上架 AI agent 机柜 1U 2U 本地化部署 DenseNet vasp安装 查询数据库服务IP地址 SQL Server opengl qt项目 qt项目实战 qt教程 国标28181 视频监控 监控接入 语音广播 流程 SIP SDP Radius React Next.js 开源框架 EMQX 通信协议 kotlin iphone deekseek 银河麒麟高级服务器 外接硬盘 Kylin 物联网开发 根服务器 clickhouse 匿名管道 超融合 Sealos 论文阅读 怎么卸载MySQL MySQL怎么卸载干净 MySQL卸载重新安装教程 MySQL5.7卸载 Linux卸载MySQL8.0 如何卸载MySQL教程 MySQL卸载与安装 junit perl Python基础 Python教程 Python技巧 语音识别 代理服务器 deep learning 内网服务器 内网代理 内网通信 Ubuntu 24 常用命令 Ubuntu 24 Ubuntu vi 异常处理 影刀 #影刀RPA# VM搭建win2012 win2012应急响应靶机搭建 攻击者获取服务器权限 上传wakaung病毒 应急响应并溯源 挖矿病毒处置 应急响应综合性靶场 HP Anyware vllm 需求分析 规格说明书 Mermaid 可视化图表 ECT转485串口服务器 ECT转Modbus485协议 ECT转Modbus串口服务器 备选 网站 调用 示例 Claude AD域 反向代理 远程服务 figma 北亚数据恢复 oracle数据恢复 sudo原理 su切换 开源软件 Linux权限 权限命令 特殊权限 CDN 电视剧收视率分析与可视化平台 MAC SecureCRT Zoertier 内网组网 增强现实 沉浸式体验 应用场景 技术实现 案例分析 AR Headless Linux GoogLeNet 阿里云ECS wpf USB网络共享 oracle fusion oracle中间件 云耀服务器 自定义客户端 SAS 查看显卡进程 fuser ArtTS 虚幻引擎 硅基流动 ChatBox IO模型 wsgiref Web 服务器网关接口 UEFI Legacy MBR GPT U盘安装操作系统 flink 问题解决 华为机试 大大通 第三代半导体 碳化硅 回显服务器 UDP的API使用 java-rocketmq 做raid 装系统 armbian u-boot MacOS 浏览器开发 AI浏览器 xshell termius iterm2 scikit-learn ELF加载 Linux环境 项目部署到linux服务器 项目部署过程 ftp CVE-2024-7347 lvm 磁盘挂载 磁盘分区 proxy模式 烟花代码 烟花 元旦 性能调优 安全代理 本地知识库部署 DeepSeek R1 模型 服务网格 istio h.264 LLM Web APP Streamlit cpp-httplib 网络搭建 神州数码 神州数码云平台 云平台 copilot 网页服务器 web服务器 Nginx web3 vscode1.86 1.86版本 ssh远程连接 open Euler dde 合成模型 扩散模型 图像生成 免密 公钥 私钥 单一职责原则 鸿蒙开发 移动开发 信创 信创终端 中科方德 人工智能生成内容 服务器扩容没有扩容成功 netlink libnl3 kerberos 语法 diskgenius 华为证书 HarmonyOS认证 华为证书考试 搭建个人相关服务器 IMM ArkTS 移动端开发 sysctl.conf vm.nr_hugepages PPI String Cytoscape CytoHubba sequoiaDB 视频平台 录像 视频转发 性能测试 视频流 openstack Xen 捆绑 链接 谷歌浏览器 youtube google gmail 授时服务 北斗授时 TCP协议 高效I/O 沙盒 抗锯齿 HistoryServer Spark YARN jobhistory word hosts MAVROS 四旋翼无人机 黑苹果 wordpress 无法访问wordpess后台 打开网站页面错乱 linux宝塔面板 wordpress更换服务器 tidb GLIBC 多路转接 知识图谱 Logstash 日志采集 僵尸世界大战 游戏服务器搭建 工具 zookeeper prometheus数据采集 prometheus数据模型 prometheus特点 高效日志打印 串口通信日志 服务器日志 系统状态监控日志 异常记录日志 swoole Windows ai工具 v10 软件 ldap ubuntu 18.04 无桌面 GIS 遥感 WebGIS MVS 海康威视相机 大屏端 regedit 开机启动 项目部署 dock 加速 内核 aarch64 编译安装 HPC 架构与原理 CNNs 图像分类 欧标 OCPP 多个客户端访问 IO多路复用 TCP相关API webgl 内网环境 lua 网卡的名称修改 eth0 ens33 浪潮信息 AI服务器 安装MySQL stable diffusion AI员工 玩机技巧 软件分享 软件图标 triton 模型分析 大模型应用 Web服务器 多线程下载工具 PYTHON 音乐库 IDEA 极限编程 LInux vue-i18n 国际化多语言 vue2中英文切换详细教程 如何动态加载i18n语言包 把语言json放到服务器调用 前端调用api获取语言配置文件 Reactor反应堆 SRS 流媒体 直播 容器技术 NAT转发 NAT Server Unity Dedicated Server Host Client 无头主机 K8S k8s管理系统 react native 常用命令 文本命令 目录命令 seleium python3.11 glibc 移动魔百盒 网络文件系统 dash 正则表达式 达梦 DM8 midjourney Qwen2.5-VL 联网 easyconnect 远程过程调用 Windows环境 sentinel 对比 meld DiffMerge 服务器安全 网络安全策略 防御服务器攻击 安全威胁和解决方案 程序员博客保护 数据保护 安全最佳实践 端口聚合 windows11 es vite System V共享内存 进程通信 FTP服务器 deepseek r1 nvm whistle Carla 智能驾驶 nosql 佛山戴尔服务器维修 佛山三水服务器维修 Spring Security 技术共享 docker desktop image 我的世界 我的世界联机 数码 生活 加解密 Yakit yaklang 软负载 干货分享 黑客工具 密码爆破 tailscale derp derper 中转 线性代数 电商平台 llama.cpp samba ecm bpm C++软件实战问题排查经验分享 0xfeeefeee 0xcdcdcdcd 动态库加载失败 程序启动失败 程序运行权限 标准用户权限与管理员权限 端口 查看 ss win服务器架设 windows server deployment daemonset statefulset cronjob 备份SQL Server数据库 数据库备份 傲梅企业备份网络版 navicat 音乐服务器 Navidrome 音流 Mac软件 Attention mcp服务器 client close 运维监控 pppoe radius 状态模式 rpa IMX317 MIPI H265 VCU 软件卸载 系统清理 H3C VS Code 前后端分离 Linux find grep 钉钉 DevOps 软件交付 数据驱动 Docker快速入门 服务器无法访问 ip地址无法访问 无法访问宝塔面板 宝塔面板打不开 代码规范 个人博客 hexo 抓包工具 小智AI服务端 xiaozhi TTS uni-file-picker 拍摄从相册选择 uni.uploadFile H5上传图片 微信小程序上传图片 AD 域管理 网易邮箱大师 AzureDataStudio yashandb retry 重试机制 pyicu 端口号 开放端口 访问列表 js gunicorn 大模型推理 Ardupilot zerotier 搜狗输入法 中文输入法 Isaac Sim 虚拟仿真 NFC 近场通讯 智能门锁 k8s部署 MySQL8.0 高可用集群(1主2从) Office ABAP initramfs Linux内核 Grub ftp服务 文件上传 日志分析 系统取证 SVN Server tortoise svn 存储维护 NetApp存储 EMC存储 HAProxy MobaXterm 文件传输 glm4 laravel 风扇控制软件 西门子PLC 通讯 ShapeFile GeoJSON 联机 僵尸毁灭工程 游戏联机 开服 蓝牙 es6 qt6.3 g726 yum换源 deepseek-r1 大模型本地部署 跨平台 nohup后台启动 vmamba mysql安装报错 windows拒绝安装 autodl 显示器 CPU 使用率 系统监控工具 linux 命令 ufw 内网渗透 靶机渗透 VMware Tools vmware tools安装 vmwaretools安装步骤 vmwaretools安装失败 vmware tool安装步骤 vm tools安装步骤 vm tools安装后不能拖 vmware tools安装步骤 VPN wireguard 蓝桥杯C++组 scapy iNode Macos 负载测试 ardunio BLE xfce cmake 桌面环境 Apache Beam 批流统一 案例展示 数据分区 容错机制 mm-wiki搭建 linux搭建mm-wiki mm-wiki搭建与使用 mm-wiki使用 mm-wiki详解 数字证书 签署证书 输入系统 错误代码2603 无网络连接 2603 EVE-NG shell脚本免交互 expect linux免交互 服务器部署 本地拉取打包 csrutil mac恢复模式进入方法 恢复模式 lighttpd安装 Ubuntu配置 Windows安装 服务器优化 deepseak 豆包 KIMI 腾讯元宝 小智 电脑桌面出现linux图标 电脑桌面linux图标删除不了 电脑桌面Liunx图标删不掉 linux图标删不掉 服务器正确解析请求体 多产物 弹性服务器 计算机科学与技术 底层实现 WINCC css3 配置原理 Tabs组件 TabContent TabBar TabsController 导航页签栏 滚动导航栏 粘包问题 UDP Pyppeteer Chatbox AI Agent 字节智能运维 流量运营 接口优化 华为OD 可以组成网络的服务器 macOS 带外管理 高德地图 鸿蒙接入高德地图 HarmonyOS5.0 Unity插件 iventoy VmWare OpenEuler 解决方案 充电桩平台 充电桩开源平台 管道 大版本升 升级Ubuntu系统 sublime text3 环境搭建 Maven 锁屏不生效 LVM lvresize 磁盘扩容 pvcreate GeneCards OMIM TTD 动静态库 env 变量 录音麦克风权限判断检测 录音功能 录音文件mp3播放 小程序实现录音及播放功能 RecorderManager 解决录音报错播放没声音问题 massa sui aptos sei 空间 查错 fiddler 实时内核 笔灵AI AI工具 VGG网络 卷积层 池化层 全文检索 图搜索算法 零售 信息安全 进程程序替换 execl函数 execv函数 execvp函数 execvpe函数 putenv函数 进程间通信 chromium dpi 行情服务器 股票交易 速度慢 切换 股票量化接口 股票API接口 ajax Linux Vim 玩游戏 solidworks安装 IP配置 netplan 智能体开发 archlinux kde plasma beautifulsoup 工具分享 电路仿真 multisim 硬件工程师 硬件工程师学习 电路图 电路分析 仪器仪表 一切皆文件 umeditor粘贴word ueditor粘贴word ueditor复制word ueditor上传word图片 ueditor导入word ueditor导入pdf ueditor导入ppt openjdk 终端工具 远程工具 llamafactory 微调 Xshell 网络原理 linuxdeployqt 打包部署程序 appimagetool 大模型训练/推理 推理问题 mindie 用户管理 打不开xxx软件 无法检查其是否包含恶意软件 服务器ssl异常解决 安全漏洞 iTerm2 显卡驱动持久化 GPU持久化 动态规划 WireGuard 异地组网 IPv6 IPv6测试 IPv6测速 IPv6检测 IPv6查询 分子对接 autodock mgltools PDB PubChem 机械臂 软件开发 信任链 免费 SystemV qps 高并发 c/s 跨域请求 券商 股票交易接口api 类型 特点 金仓数据库概述 金仓数据库的产品优化提案 终端 区块链项目 PyQt PySide6 智能合约 哈希算法 ubuntu安装 linux入门小白 nacos servlet 程序化交易 量化交易 高频交易 autoware Bug解决 Qt platform OpenCV 分布式账本 共识算法 内存管理 桌面快捷方式

VPS345,全球数据中心基础服务供应商,APNIC 和 ARIN 会员单位,自有 ASN、IPv4、IPv6 及自营 SonderCloud 云数据中心。

服务器租用

站群服务器

高防服务器

关于我们

Copyright © 2014-2025 VPS345.com 保留所有权利 皖ICP备16015960号-5 网站地图