如何进行CentOS基线检查以确保系统安全与合规？

1、密码尝试失败锁定

确保配置了密码尝试失败的锁定机制，编辑/etc/pam.d/password-auth和/etc/pam.d/system-auth文件，添加如下内容：

auth required pam_faillock.so preauth audit silent deny=5 unlock_time=900
auth [success=1 default=bad] pam_unix.so
auth [default=die] pam_faillock.so authfail audit deny=5 unlock_time=900
auth sufficient pam_faillock.so authsucc audit deny=5 unlock_time=900

2、默认用户umask限制

确保默认用户的umask限制为027或更高，编辑/etc/bashrc、/etc/profile和/etc/profile.d/*.sh文件，添加或编辑umask参数，如：

umask 027

3、默认用户shell超时设置

确保默认用户shell超时设置为900秒或更短，编辑/etc/bashrc和/etc/profile文件，添加或编辑TMOUT参数：

TMOUT=600

4、Bootloader配置权限

确保bootloader配置文件的权限正确，运行以下命令来设置对grub配置的权限：

chown root:root /boot/grub2/grub.cfg
chmod -rwx /boot/grub2/grub.cfg
chown root:root /boot/grub2/user.cfg
chmod -rwx /boot/grub2/user.cfg

5、引导程序密码设置

确保设置了引导程序密码，使用以下命令创建加密的密码：

grub2-setpassword
Enter password: <password> Confirm password: <password>

6、核心转储限制

确保核心转储受到限制，在/etc/security/limits.conf或/etc/security/limits.d/*文件中添加以下行：

hard core 0

并在/etc/sysctl.conf或/etc/sysctl.d/*文件中设置：

fs.suid_dumpable = 0

然后运行命令：

sysctl -w fs.suid_dumpable=0

7、地址空间布局随机化（ASLR）启用

确保启用了地址空间布局随机化（ASLR），在/etc/sysctl.conf或/etc/sysctl.d/*文件中设置：

kernel.randomize_va_space = 2

然后运行命令：

sysctl -w kernel.randomize_va_space=2

8、审核日志保留

确保审核日志不会自动删除，在/etc/audit/auditd.conf中设置：

max_log_file_action = keep_logs

9、系统管理范围更改收集

确保收集系统管理范围（sudoers）更改，在/etc/audit/rules.d/audit.rules和/etc/audit/audit.rules文件中添加：

-w /etc/sudoers -p wa -k scope
-w /etc/sudoers.d/ -p wa -k scope

然后重启auditd服务：

service auditd restart

10、系统管理员操作收集

确保收集系统管理员操作（sudolog），在/etc/audit/rules.d/audit.rules和/etc/audit/audit.rules文件中添加：

-w /var/log/sudo.log -p wa -k actions

然后重启auditd服务：

service auditd restart

11、审核配置不变性

确保审核配置是不变的，在/etc/audit/rules.d/audit.rules和/etc/audit/audit.rules文件中添加：

-e 2

然后重启auditd服务：

service auditd restart

12、启动前进程审计

确保启用对在auditd之前启动的进程的审计，编辑/etc/default/grub并添加：

audit = 1

然后更新grub2配置：

grub2-mkconfig -o /boot/grub2/grub.cfg

13、用户/组信息修改事件收集

确保收集修改用户/组信息的事件，在/etc/audit/rules.d/audit.rules和/etc/audit/audit.rules文件中添加：

-w /etc/group -p wa -k identity
-w /etc/passwd -p wa -k identity
-w /etc/gshadow -p wa -k identity
-w /etc/shadow -p wa -k identity
-w /etc/security/opasswd -p wa -k identity

然后重启auditd服务：

service auditd restart

14、强制访问控制事件收集

确保收集修改系统的强制访问控制的事件，在/etc/audit/rules.d/audit.rules和/etc/audit/audit.rules文件中添加：

-w /etc/selinux/ -p wa -k MAC-policy
-w /usr/share/selinux/ -p wa -k MAC-policy

然后重启auditd服务：

service auditd restart

15、登录和注销事件收集

确保收集登录和注销事件，在/etc/audit/rules.d/audit.rules和/etc/audit/audit.rules文件中添加：

-w /var/log/lastlog -p wa -k logins
-w /var/run/faillock/ -p wa -k logins

然后重启auditd服务：

service auditd restart

16、会话启动信息收集

确保收集会话启动信息，在/etc/audit/rules.d/audit.rules和/etc/audit/audit.rules文件中添加：

-w /var/run/utmp -p wa -k session
-w /var/log/wtmp -p wa -k session

到此，以上就是小编对于“centos基线检查”的问题就介绍到这了，希望介绍的几点解答对大家有用，有任何问题和不懂的，欢迎各位朋友在评论区讨论，给我留言。