操作系统安全基线（CentOS6和CentOS7）

一、安全基线内容

1、安全基线脚本兼容CentOS6和CentOS7操作系统；

2、安全基线在结合公司服务器访问控制架构基础上，最大限度的符合PCI DSSv3的要求；

二、脚本内容

1、基础操作

• 添加ssh key公钥；
• 创建普通用户ltops/ltdev/ltroot；
• 配置sudo权限；
• 安装基础软件包；
• 设置时区和定时任务同步时间；
• 关闭firewalld；
• 禁用SElinux；
• 关闭NetworkManager；
• 关闭Postfix；
• 配置/etc/security/limits.conf；
• 配置/etc/systemd/system.conf；
• 内核参数优化：/etc/sysctl.conf；
• 设置history相关变量；

2、操作系统安全基线配置初始化

（1）软件安装与维护

• 确保安装了Red Hat GPG Key（OK）
• 确保yum主配置中启用了gpgcheck（OK）
• 确保所有yum仓库启用了gpgcheck（OK）

（2）安装包完整性校验

• 禁用Prelink（OK）
• 安装AIDE（OK）
• 初始化AIDE
• 安装入侵检测代理-青藤云agent

（3）文件权限和umask

• /etc/profile umask设置为022或更严格

（4）用户和访问控制

• 设置密码强度要求：CentOS6至少8位，至少包含一个小写字母、一个大写字母、一个数字和一个特殊字符；CentOS7至少12位，至少包含一个小写字母、一个大写字母、一个数字和一个特殊字符。（OK）
• 检查/etc/login.defs加密算法是否为SHA512；（OK）
• 检查/etc/pam.d/system-auth加密算法是否为SHA512；（OK）
• 检查/etc/libuser.conf加密算法是否为SHA512；（OK）
• 配置/etc/{group-,passwd-,shadow-}属主属组为root，且权限为600；（OK）

（5）网络和防火墙配置

• 针对Softlayer的服务器，默认22端口只允许对指定的几个地址开放；
• 禁用不常用的网络写协议：DCCP/SCTP/BLUETOOTH；（OK）
• 确保远程登录警告标语/etc/issue.net配置正确，不包含\m, \r, \s,\v配置。（OK）

（6）日志服务rsyslog配置

• rsyslog是否安装；（OK）
• rsyslog是否启动；（OK）
• /var/log/目录下由syslog生成的日志的属主属组都设置为root:root，权限设置为0600；

（7）审计服务auditd配置

• 启用audisp插件；
• 配置auditd服务配置/etc/audit/auditd.conf;
  • space_left_action = email（OK）
  • max_log_file = 8（OK）
  • action_mail_acct = root（OK）
  • num_logs = 30（OK）
  • max_log_file_action = ROTATE（OK）
  • admin_space_left_action = suspend（OK）
• 配置完善的审计规则/etc/audit/{audit.rules,rules.d/audit.rules}；
  • 配置规则不可修改；（OK）
  • 记录尝试修改进程和会话初始化信息的事件；（OK）
  • 记录修改SSH二进制文件的事件；（OK）
  • 记录内核加载和卸载的事件；（OK）
  • 记录系统管理员（sudolog）操作事件；（OK）
  • 记录系统管理范围（sudoers）更改事件；（OK）
  • 记录修改本地时间文件/etc/localtime操作的事件；(OK)
  • 记录修改系统网络配置信息的事件；（OK）
  • 记录修改用户/用户组信息的事件；（OK）
  • 记录成功的文件系统挂载事件；（OK）
  • 记录修改系统自主访问控制的事件；（OK）
  • 记录修改日期和时间信息的事件；（OK）
  • 记录尝试登陆和注销事件；（OK）
  • 记录用户删除文件的事件；（OK）
  • 记录尝试未授权访问文件（失败）的事件；（OK）
  • 监视指定二进制文件修改和执行的事件；
  • 监视定时任务的修改和执行的事件；（OK）
  • 监视/etc/目录下文件的修改事件；
  • 监视/tmp目录的事件；
  • 监视二进制和库目录的写入/打开；
  • 记录修改系统强制访问控制事件selinux；（OK）
  • 记录自主访问控制权限修改事件fchmod等；（OK）
• 启用对早于auditd启动的进程的审计；（OK）
• 设置auditd服务开机启动;（OK）

（8）SSH server配置

• 只允许使用SSHv2协议（OK）
• 设置SSH空闲超市间隔为900秒（OK）
• 设置SSH客户端活动计数为0（OK）
• 禁用.rhosts文件的SSH支持（OK）
• 禁用基于主机的身份验证（OK）
• 禁止root用户登录（OK）
• 禁止空密码登录（OK）
• banner信息设置为/etc/issue.net（OK）
• 禁用SSH环境的选项（OK）
• 仅使用FIPS 140-2已批准的验证密码算法（OK）
• 禁用密码认证登录方式（OK）
• 只允许ltdev、ltops和ltroot三个账号远程登录（OK）
• /etc/ssh/sshd_config文件属主属组为root，且权限为600（OK）
• 检查SSH日志级别是否设置为INFO（OK）