设备安全加固
- 禁止root用户远程登录。
- 使用Linux自带的ASLR(address space layout randomization)功能,增强漏洞攻击防护能力。
- 将sudo命令中targetpw选项设置为默认要求输入目标用户的密码,防止增加sudo规则后,所有用户不需要输入root密码,就可以提权root帐号执行系统命令,导致普通用户越权执行命令。该选项默认不添加,建议添加该选项。
执行cat /etc/sudoers | grep -E "^[^#]*Defaults[[:space:]]+targetpw"命令检查是否存在“Defaults targetpw”或“Defaults rootpw”配置项。如果不存在,请在“/etc/sudoers”文件的“#Defaults specification”下添加“Defaults targetpw”或者“Defaults rootpw”配置项。
- 禁止普通用户或组通过所有命令提权到root用户。
执行cat /etc/sudoers命令检查“/etc/sudoers”文件中是否存在“root ALL=(ALL:ALL) ALL”和“root ALL=(ALL) ALL”之外的其他用户或组的“(ALL) ALL和(ALL:ALL) ALL”。如果存在,请根据实际业务场景确认是否需要,如果确认不需要,请删除,例如“user ALL=(ALL) ALL”、“%admin ALL=(ALL) ALL”或“%sudo ALL=(ALL:ALL) ALL”。
- 为保证能够生成安全的随机数,请确保操作系统支持getrandom系统调用(默认操作系统已支持)。
父主题: 安全加固