vlambda博客
学习文章列表

使用方法：

登录  主机安全控制台 ，在左侧导航栏中，选择基线管理 > 安全基线，进入安全基线页面。

（需要付费，按次付费3块一次）

检查项目和处理建议如下：

1. 确保配置了密码尝试失败的锁定

处理建议 （处理时请先做备份） 

编辑/etc/pam.d/password-auth 和/etc/pam.d/system-auth 文件，以符合本地站点策略：

 
   
   
 

  
    
    
  auth required pam_faillock
  
    
    
  .so preauth audit silent deny
  
    
    
  =
  
    
    
  5 unlock_time
  
    
    
  =
  
    
    
  900 
  
    
    
  
auth 
  
    
    
  [success
  
    
    
  =
  
    
    
  1 
  
    
    
  default
  
    
    
  =bad
  
    
    
  ] pam_unix
  
    
    
  .so 
  
    
    
  
auth 
  
    
    
  [
  
    
    
  default
  
    
    
  =die
  
    
    
  ] pam_faillock
  
    
    
  .so authfail audit deny
  
    
    
  =
  
    
    
  5 unlock_time
  
    
    
  =
  
    
    
  900 
  
    
    
  
auth sufficient pam_faillock
  
    
    
  .so authsucc audit deny
  
    
    
  =
  
    
    
  5 unlock_time
  
    
    
  =
  
    
    
  900
 
   
   
 

2. 确保默认用户umask限制为027或更高

处理建议 （处理时请先做备份）

 
   
   
 

  
    
    
  编辑
  
    
    
  /etc
  
    
    
  /bash
  
    
    
  .bashrc、
  
    
    
  /etc
  
    
    
  /profile和
  
    
    
  /etc
  
    
    
  /profile
  
    
    
  .d
  
    
    
  /*.sh文件（以及系统上支持的任何其他Shell的适当文件），并添加或编辑umask参数，
 
   
   
 

如下所示：

 
   
   
 

  
    
    
  umask 
  
    
    
  027 
  
    
    
  备注
  
    
    
  (修复完后运行以下命令以确保是否已完全修复 
  
    
    
  
grep 
  
    
    
  "umask" 
  
    
    
  /etc
  
    
    
  /bashrc 
  
    
    
  
grep 
  
    
    
  "umask" 
  
    
    
  /etc
  
    
    
  /profile 
  
    
    
  
grep 
  
    
    
  "umask" 
  
    
    
  /etc
  
    
    
  /profile
  
    
    
  .d
  
    
    
  /*.sh
 如果umask 配置不为027的，需全部修改为027或更严格)
 
   
   
 

3. 确保默认用户shell超时为900秒或更短

处理建议 （处理时请先做备份） 

编辑/etc/bashrc和/etc/profile文件（以及系统上支持的任何其他Shell的适当文件），并添加或编辑任何umask参数，如下所示：

 
   
   
 

  
    
    
  TMOUT
  
    
    
  =
  
    
    
  600
 
   
   
 

4. 确保配置了bootloader配置的权限

处理建议 （处理时请先做备份）

运行以下命令来设置对grub配置的权限：

 
   
   
 

  
    
    
  # chown root
  
    
    
  :root 
  
    
    
  /boot
  
    
    
  /grub2
  
    
    
  /grub
  
    
    
  .cfg 
  
    
    
  
# chmod og
  
    
    
  -rwx 
  
    
    
  /boot
  
    
    
  /grub2
  
    
    
  /grub
  
    
    
  .cfg 
  
    
    
  
# chown root
  
    
    
  :root 
  
    
    
  /boot
  
    
    
  /grub2
  
    
    
  /user
  
    
    
  .cfg 
  
    
    
  
# chmod og
  
    
    
  -rwx 
  
    
    
  /boot
  
    
    
  /grub2
  
    
    
  /user
  
    
    
  .cfg
 
   
   
 

5. 确保设置了引导程序密码

处理建议 （处理时请先做备份）

使用以下命令创建加密的密码grub2-setpassword：

 
   
   
 

  
    
    
  # grub2
  
    
    
  -setpassword 
  
    
    
  
Enter password
  
    
    
  : 
  
    
    
  <password
  
    
    
  > 
  
    
    
  
Confirm password
  
    
    
  : 
  
    
    
  <password
  
    
    
  >
 
   
   
 

6. 确保核心转储受到限制

处理建议 （处理时请先做备份）

 
   
   
 

  
    
    
  将以下行添加到
  
    
    
  /etc
  
    
    
  /security
  
    
    
  /limits
  
    
    
  .conf或
  
    
    
  /etc
  
    
    
  /security
  
    
    
  /limits
  
    
    
  .d
  
    
    
  /*文件中：
 * hard core 0 
在/etc/sysctl.conf或/etc/sysctl.d/*文件中设置以下参数：
 fs.suid_dumpable = 0 
运行以下命令来设置活动内核参数：
# sysctl -w fs.suid_dumpable=0
 
   
   
 

7. 确保启用了地址空间布局随机化（ASLR）

处理建议 （处理时请先做备份）

 
   
   
 

  
    
    
  在
  
    
    
  /etc
  
    
    
  /sysctl
  
    
    
  .conf或
  
    
    
  /etc
  
    
    
  /sysctl
  
    
    
  .d
  
    
    
  /*文件中设置以下参数：
 kernel.randomize_va_space = 2 
运行以下命令来设置内核参数：
 # sysctl -w kernel.randomize_va_space=2
 
   
   
 

8. 确保审核日志不会自动删除

处理建议 （处理时请先做备份） 

在/etc/audit/auditd.conf中设置以下参数 :

 
   
   
 

  
    
    
  max_log_file_action 
  
    
    
  = keep_logs
 
   
   
 

9. 确保系统管理范围（sudoers）更改的收集

处理建议 （处理时请先做备份） 

将以下行添加到/etc/audit/rules.d/audit.rules和/etc/audit/audit.rules 文件中：

 
   
   
 

  
    
    
  -w 
  
    
    
  /etc
  
    
    
  /sudoers 
  
    
    
  -p wa 
  
    
    
  -k scope 
  
    
    
  

  
    
    
  -w 
  
    
    
  /etc
  
    
    
  /sudoers
  
    
    
  .d
  
    
    
  / 
  
    
    
  -p wa 
  
    
    
  -k scope 
  
    
    
  
重启auditd：service auditd restart
 
   
   
 

10. 确保收集了系统管理员操作（sudolog）

处理建议 （处理时请先做备份） 

将以下行添加到/etc/audit/rules.d/audit.rules和/etc/audit/audit.rules 文件中：

 
   
   
 

  
    
    
  -w 
  
    
    
  /
  
    
    
  var
  
    
    
  /log
  
    
    
  /sudo
  
    
    
  .log 
  
    
    
  -p wa 
  
    
    
  -k actions 
  
    
    
  
重启auditd：service auditd restart
 
   
   
 

11. 确保审核配置是不变的

处理建议 （处理时请先做备份）

 
   
   
 

  
    
    
  将以下行添加到
  
    
    
  /etc
  
    
    
  /audit
  
    
    
  /rules
  
    
    
  .d
  
    
    
  /audit
  
    
    
  .rules和
  
    
    
  /etc
  
    
    
  /audit
  
    
    
  /audit
  
    
    
  .rules 文件中：
  
    
    
  -e 
  
    
    
  2 
  
    
    
  
重启auditd：service auditd restart
 
   
   
 

12. 确保启用对在auditd之前启动的进程的审计

处理建议 （处理时请先做备份） 

编辑/etc/default/grub并将audit = 1添加到GRUB_CMDLINE_LINUX：GRUB_CMDLINE_LINUX="audit=1" 运行以下命令以更新grub2配置：

 
   
   
 

  
    
    
  # grub2
  
    
    
  -mkconfig 
  
    
    
  -o 
  
    
    
  /boot
  
    
    
  /grub2
  
    
    
  /grub
  
    
    
  .cfg
 
   
   
 

13. 确保收集了修改用户/组信息的事件

处理建议 （处理时请先做备份） 

将以下行添加到/etc/audit/rules.d/audit.rules和/etc/audit/audit.rules 文件中：

 
   
   
 

  
    
    
  -w 
  
    
    
  /etc
  
    
    
  /group 
  
    
    
  -p wa 
  
    
    
  -k identity 
  
    
    
  

  
    
    
  -w 
  
    
    
  /etc
  
    
    
  /passwd 
  
    
    
  -p wa 
  
    
    
  -k identity 
  
    
    
  

  
    
    
  -w 
  
    
    
  /etc
  
    
    
  /gshadow 
  
    
    
  -p wa 
  
    
    
  -k identity 
  
    
    
  

  
    
    
  -w 
  
    
    
  /etc
  
    
    
  /shadow 
  
    
    
  -p wa 
  
    
    
  -k identity 
  
    
    
  

  
    
    
  -w 
  
    
    
  /etc
  
    
    
  /security
  
    
    
  /opasswd 
  
    
    
  -p wa 
  
    
    
  -k identity 
  
    
    
  
重启auditd：service auditd restart
 
   
   
 

14. 确保收集了修改系统的强制访问控制的事件

处理建议 （处理时请先做备份） 

将以下行添加到/etc/audit/rules.d/audit.rules和/etc/audit/audit.rules 文件中：

 
   
   
 

  
    
    
  -w 
  
    
    
  /etc
  
    
    
  /selinux
  
    
    
  / 
  
    
    
  -p wa 
  
    
    
  -k 
  
    
    
  MAC
  
    
    
  -policy 
  
    
    
  

  
    
    
  -w 
  
    
    
  /usr
  
    
    
  /share
  
    
    
  /selinux
  
    
    
  / 
  
    
    
  -p wa 
  
    
    
  -k 
  
    
    
  MAC
  
    
    
  -policy 
  
    
    
  
重启auditd：service auditd restart
 
   
   
 

15. 确保收集了登录和注销事件

处理建议 （处理时请先做备份） 

将以下行添加到/etc/audit/rules.d/audit.rules和/etc/audit/audit.rules 文件中：

 
   
   
 

  
    
    
  -w 
  
    
    
  /
  
    
    
  var
  
    
    
  /log
  
    
    
  /lastlog 
  
    
    
  -p wa 
  
    
    
  -k logins 
  
    
    
  

  
    
    
  -w 
  
    
    
  /
  
    
    
  var
  
    
    
  /run
  
    
    
  /faillock
  
    
    
  / 
  
    
    
  -p wa 
  
    
    
  -k logins 
  
    
    
  
重启auditd：service auditd restart
 
   
   
 

16. 确保收集了会话启动信息

处理建议 （处理时请先做备份） 

将以下行添加到/etc/audit/rules.d/audit.rules和/etc/audit/audit.rules 文件中：

 
   
   
 

  
    
    
  -w 
  
    
    
  /
  
    
    
  var
  
    
    
  /run
  
    
    
  /utmp 
  
    
    
  -p wa 
  
    
    
  -k session 
  
    
    
  

  
    
    
  -w 
  
    
    
  /
  
    
    
  var
  
    
    
  /log
  
    
    
  /wtmp 
  
    
    
  -p wa 
  
    
    
  -k logins 
  
    
    
  

  
    
    
  -w 
  
    
    
  /
  
    
    
  var
  
    
    
  /log
  
    
    
  /btmp 
  
    
    
  -p wa 
  
    
    
  -k logins 
  
    
    
  
重启auditd：service auditd restart
 
   
   
 

17. 确保在审核日志已满时禁用系统

处理建议 （处理时请先做备份） 

该配置会在日志满后触发守护进程关闭系统(该配置有让系统关闭中断的风险，对于需要持续生产的环境不建议进行该项配置，对于日志记录及安全要求高的环境可进行该项配置) 

在 /etc/audit/auditd.conf中设置以下参数:

 
   
   
 

  
    
    
  space_left_action 
  
    
    
  = email 
  
    
    
  
action_mail_acct 
  
    
    
  = root 
  
    
    
  
admin_space_left_action 
  
    
    
  = halt
 
   
   
 

腾讯云主机

基线策略的官方介绍如下：

基线策略

基线策略是基于用户自定义设置的基线检测项的集合，基于策略维度了解基线的通过率及风险情况。

• 腾讯云默认基线策略：腾讯云主机安全根据网络安全主流的基线检测内容为您提供默认基线检测策略，包括：等保二级策略、等保三级策略、弱密码策略、CIS 基线策略、腾讯云最佳安全实践策略。您可以增加默认基线策略中的检测项和需要检测的服务器，该策略默认每隔7天，第7天晚上0点检测全量专业版服务器。

  说明：

  策略的通过率 = 已通过该策略下全部检测项的服务器数 / 该策略下全部检测的服务器数

  

• 新增基线策略

• 主机安全最多支持创建20个基线策略，达到20个后则不允许再创建，但您可以删除现有基线后，再次创建。

• 腾讯云默认策略会存在“系统策略”标签内。

1. 基线检测结果展示模块右上角，单击基线设置。

2. 在设置页面的基线策略设置页面，单击新增策略。
   

3. 在新增基线策略页面，输入策略项名称（不允许与现存策略名称重复）、选择检测周期、基线选项及应用资产，单击保存并更新。

   说明：

   
   

   

基线检测

腾讯云主机安全支持对基线检测项的定期检测和一键检测，支持对指定云服务器上的指定基线项进行检测。

说明：

若非首次基线检测，需开通 主机安全专业版或旗舰版 才可进行基线检测。

• 一键检测

• 操作1：选择需要检测的基线策略，单击开始检测（检测一般持续2 - 5分钟），检测完成后，检测结果会以可视化图表的方式显示在漏洞管理页面。
  

• 操作2：单击立即升级，跳转至主机安全升级界面，将云服务器升级为专业版。

• 首次检测：当您首次使用基线检测功能时，我们为您免费提供一次全量基线策略和全服务器的检测服务，协助您发现基线安全风险，并展示其中5条基线风险。若您所需更多的基线安全功能，建议 升级专业版或旗舰版。

• 非首次检测：当您非首次使用基线检测时，选择需要检测的基线策略后，单击一键检测（检测一般持续2 - 10分钟）若您尚未存在专业版服务器，建议立即 升级专业版。

1. 基线检测结果展示模块，单击试用检测。
   

2. 在“检测提示”弹窗中：

• 周期检测

• 周期检测设置：在“设置”弹窗中的“基线策略设置”标签内，您可以新建或编辑策略，设置检测周期，同时可以开启或关闭定期检测策略，支持对用户自定义策略的删除。
  
  

• 忽略检测项管理：在“设置”弹窗中的“忽略检测项管理”标签内，查看已忽略的检测项及其详情，并可进行取消忽略操作。
  

1. 基线检测结果展示模块右上角，单击基线设置。
   

2. 在设置页面的基线策略设置页面，可以进行周期检测设置并进行忽略检测项管理。

基线数据可视化

当您选择基线策略并检测完成后，您可以在 安全基线 页面，查看本次检测服务器的数量、检测项数量、该基线策略的通过率、基线检测项 TOP5 及服务器风险 TOP5，并按照威胁等级来进行划分。

基线结构列表

在 安全基线 页面下方，可查看基线检测结果列表，支持查看基线详情，支持对单个基线进行模糊搜索和状态筛选，并支持对所有表格进行下载。

字段说明：

• 基线名称：基线包名称，包含若干相同类别的检测项。

• 威胁等级：根据基线的危险程度，将其划分为严重、高危、中危和低危四个等级。

• 基线检测项：该基线包下所有的检测项合计数量。

• 影响服务器数：表示在该策略所选服务器和检测项下，被检测服务器未全部通过该基线包下的检测项数量，即该基线包影响服务器的数量。

• 最后检测时间：取最近一次某台服务器检测出该基线包下的检测项的时间。

• 处理状态：分为“已通过”、“未通过”、 “检测中”

• 操作：支持查看基线详情并对未通过检测的基线重新检测。

• 列表支持对多个检测项“重新检测”和“忽略”，忽略后的检测项可进入 “忽略风险项管理” 页面进行查看。

• 支持对检测项的威胁等级筛选和处理状态筛选。

• 鼠标停留在检测项时，为您提供该检测项的详细描述和处理建议。

• 方式1：选择需要检测的基线，在列表左上角单击重新检测，将批量对基线进行重新检测。

• 方式2：在目标基线右侧，单击重新检测，将重新对该基线进行检测。

• 重新检测：

• 查看详情：

1. 在基线检测结果列表中，找到目标基线，在右侧操作栏，单击查看详情，进入基线详情页。

2. 在基线详情页面，可查看该基线的描述信息和威胁等级，同时可查看影响服务器的列表。
   服务器列表支持对单个服务器模糊搜索、支持状态筛选、支持批量对服务器进行“重新检测”、支持查看单个服务器详情，在目标服务器右侧操作栏，单击详情，进入检测详情页。
   

3. 在检测详情页可查看基本信息，包括基线名称、服务器名称和检测项详情列表。