centos exploit合规性检查
导读:CentOS Exploit 合规性检查清单与落地方法 一 合规检查范围与原则 聚焦三大领域:补丁与漏洞管理、身份鉴别与访问控制、日志与审计,覆盖等保2.0三级常见主机安全要求。 合规基线建议:高危漏洞及时修复;密码复杂度与周期、登录失败...
CentOS Exploit 合规性检查清单与落地方法
一 合规检查范围与原则
- 聚焦三大领域:补丁与漏洞管理、身份鉴别与访问控制、日志与审计,覆盖等保2.0三级常见主机安全要求。
- 合规基线建议:高危漏洞及时修复;密码复杂度与周期、登录失败锁定与会话超时;仅用SSH远程管理并禁用明文协议;关键文件权限最小化;登录与安全事件日志留存与集中分析。
- 合法合规:严禁利用或传播exploit;使用系统自带与安全社区认可的工具(如auditd、OpenSCAP、Lynis)开展审计与加固。
二 快速检查命令清单
| 检查项 | 关键命令 | 合规要点/判定 |
|---|---|---|
| 安全更新状态 | yum check-update --security;yum updateinfo summary | 有可用安全更新需安排修复;命令退出码:0 无更新、100 有更新、1 出错 |
| 补丁合规报告 | yum updateinfo summary;可脚本化汇总 | 生成“安全/重要/一般”更新数量,便于月度合规报表 |
| 登录审计日志 | grep -E "Accepted | Failed |
| 会话超时 | grep TMOUT /etc/profile /etc/bashrc;echo $TMOUT | 建议设置如TMOUT=300(5分钟)并设为只读 |
| 登录失败锁定 | grep -E "pam_tally2 | deny |
| 密码复杂度 | grep -E "pam_cracklib | minlen |
| 空口令账号 | awk -F: ‘($2==“”){ print $1} ’ /etc/shadow | 不应存在空口令账户 |
| 默认账户与root远程 | grep -E "root | UID" /etc/passwd /etc/shadow;grep PermitRootLogin /etc/ssh/sshd_config |
| 服务与端口最小化 | systemctl list-units --type=service --state=running;ss -tulpen | 关闭telnet等明文/高风险服务;仅开放必要端口 |
| 防火墙与访问控制 | firewall-cmd --list-all;iptables -S | 仅放行业务必需端口与来源网段 |
| 文件与目录权限 | ls -l /etc/passwd /etc/shadow /etc/ssh/sshd_config | 建议:/etc/passwd 644、/etc/shadow 600、/etc/ssh/sshd_config 600 |
| SELinux状态 | getenforce;sestatus | 建议Enforcing;如为Permissive需评估并整改 |
| 自动化合规扫描 | oscap xccdf eval --profile xccdf_org.ssgproject.content_profile_stig ssg-centos7-ds.xml;lynis | 生成基线差距报告并逐项整改 |
| 以上命令覆盖补丁、身份鉴别、访问控制、日志审计、入侵防范等核心检查点,可直接用于巡检脚本或手动核查。 |
三 等保2.0三级关键项落地示例
- 身份鉴别
- 密码策略:/etc/login.defs 设置PASS_MAX_DAYS 90、PASS_MIN_DAYS 7、PASS_WARN_AGE 7;/etc/pam.d/system-auth 配置 pam_cracklib(如 minlen=8,ucredit/lcredit/dcredit/ocredit 各**-1**)。
- 登录失败锁定与超时:/etc/pam.d/{ system-auth,sshd} 配置 deny=10、unlock_time=150(可按需放开 root 限制);/etc/profile 设置TMOUT=300并 readonly。
- 远程管理与协议
- 仅启用SSH,禁用Telnet;/etc/ssh/sshd_config 设置PermitRootLogin no,必要时采用证书登录并配合堡垒机实现双因子认证。
- 访问控制与最小权限
- 关闭无用服务(如 telnet、rpcbind 等);firewalld/iptables 仅放行业务必需端口与来源;关键配置文件权限最小化(如 /etc/shadow 600)。
- 日志与审计
- 确保 rsyslog 将authpriv.* /var/log/secure写入;审计关键系统调用与登录事件(auditd);日志集中存储并保留≥6个月。
四 补丁与漏洞管理流程
- 发现与评估:定期执行yum check-update --security与yum updateinfo summary,识别安全更新;对关键主机优先处理高危 CVE。
- 变更与验证:先在测试环境验证,再分批上线;生产环境避免一次性批量更新,减少对业务影响。
- 报表与留痕:使用脚本或工具生成月度补丁合规报告(含安全/重要/一般更新数量、修复前后对比),并留存变更记录与回退方案。
- 持续监测:结合OpenSCAP/Lynis基线扫描与日志分析,形成“发现—修复—复测—留痕”的闭环。
五 高风险项加固与验证
- 禁用 root 远程登录:/etc/ssh/sshd_config 设置PermitRootLogin no,重启 sshd 后验证 root 无法直接登录,仅可通过普通账号 sudo 提权。
- 登录失败锁定与会话超时:按策略配置 PAM 锁定与TMOUT,验证连续失败触发锁定、超时自动退出。
- 服务最小化与防火墙:关闭telnet等明文/高风险服务;仅开放必要端口与来源网段,验证策略生效。
- 文件权限与敏感文件保护:校正 /etc/passwd、/etc/shadow、/etc/ssh/sshd_config 等关键文件权限,验证非授权用户不可读写。
- SELinux:设置为Enforcing并验证业务兼容性,必要时使用 audit2allow 精细化策略放行。
声明:本文内容由网友自发贡献,本站不承担相应法律责任。对本内容有异议或投诉,请联系2913721942#qq.com核实处理,我们将尽快回复您,谢谢合作!
若转载请注明出处: centos exploit合规性检查
本文地址: https://pptw.com/jishu/785394.html