开发者
资源
文档评分
获取效率
正确性
完整性
易理解
在线提单
论坛求助

自动配置项

本小节对openEuler部分配置使用工具进行核查和加固,具体工具安装和使用方法请参考openEuler安全配置基线核查能力

运行前保存/etc/sysctl.conf,

cp /etc/sysctl.conf /etc/sysctl.conf.bak

在参考链接中,对应目录工具-说明-第3条总结的支持条目如下:

1.1.4 确保全局可写目录已设置sticky位

1.1.5 确保UMASK配置正确

1.1.16 确保软、硬链接文件保护配置正确

1.2.1 禁止安装FTP客户端

1.2.2 禁止安装TFTP客户端

1.2.3 禁止安装Telnet客户端

1.2.4 禁止安装不安全的SNMP协议版本

1.2.5 禁止安装Python2

1.2.6 确保yum源配置GPG校验

1.2.7 禁止启用debug-shell服务

1.2.8 禁止安装rsync服务

1.2.9 禁止安装avahi服务

1.2.10 禁止安装LDAP服务

1.2.11 禁止安装打印服务

1.2.12 禁止安装NIS服务端

1.2.13 禁止安装NIS客户端

1.2.14 禁止安装LDAP客户端

2.1.4 禁止存在UID为0的非root账号

2.1.5 确保账号、组及口令文件权限正确

2.1.6 确保账号拥有自己的Home目录

2.1.7 确保/etc/passwd中的组都存在

2.2.1 确保口令复杂度设置正确

2.2.2 禁止使用历史口令

2.2.4 确保口令中不包含账号字符串

2.2.5 确保口令使用强Hash算法加密

2.2.6 确保弱口令字典设置正确

2.2.7 确保口令有效期设置正确

2.2.8 禁止空口令登录

2.2.10 确保单用户模式已设置口令保护

2.3.2 确保会话超时时间设置正确

2.3.4 应当正确配置Banner路径

2.4.4 确保su受限使用

2.4.7 确保普通用户不能借助pkexec配置提权至root

2.4.8 确保su命令继承用户环境变量不会引入提权

3.3.1 确保SSH服务版本配置正确

3.3.2 确保SSH服务认证方式配置正确

3.3.3 确保SSH密钥交换算法配置正确

3.3.4 确保用户认证密钥算法配置正确

3.3.5 确保PAM认证使能

3.3.6 确保SSH服务MACs算法配置正确

3.3.7 确保SSH服务密码算法配置正确

3.3.8 禁止SSH服务配置加密算法覆盖策略

3.3.14 禁止使用X11 Forwarding

3.3.16 禁止使用PermitUserEnvironment

3.3.20 禁止SSH服务配置弃用的选项

3.3.21 确保禁用SSH的TCP转发功能

3.4.2 确保cron守护进程正常启用

3.4.3 确保at、cron配置正确

3.5.1 确保内核ASLR已启用

3.5.2 确保dmesg访问权限配置正确

3.5.3 确保正确配置内核参数kptr_restrict

3.5.4 确保内核SMAP已启用

3.5.5 确保内核SMEP已启用

3.5.6 禁止系统响应ICMP广播报文

3.5.7 禁止接收ICMP重定向报文

3.5.8 禁止转发ICMP重定向报文

3.5.10 确保丢弃伪造的ICMP报文,不记录日志

3.5.11 确保反向地址过滤已启用

3.5.12 禁止IP转发

3.5.13 禁止报文源路由

3.5.14 确保TCP-SYN cookie保护已启用

3.5.15 应当记录仿冒、源路由以及重定向报文日志

3.5.16 避免开启tcp_timestamps

3.5.17 确保TIME_WAIT TCP协议等待时间已配置

3.5.18 应当正确配置SYN_RECV状态队列数量

3.5.19 禁止使用ARP代理

3.5.21 禁止使用SysRq键

4.1.1 确保auditd审计已启用

4.1.2 确保审计日志rotate已启用

4.1.11 确保日志大小限制配置正确

4.2.1 确保rsyslog服务已启用

4.2.2 确保系统认证相关事件日志已记录

4.2.3 确保cron服务日志已记录

4.2.6 确保rsyslog转储journald日志已配置

如果需要用远端连接一体机的CVM内部openclaw WebSocket,则需要利用iptables或者ssh tunnel等方式,因此,上述自动化脚本中的禁止IP转发等配置可以通过先前备份的/etc/sysctl.conf.bak进行恢复