[自动化]ansible-系统安全加固整改
2024-10-19 18:35:53
基线漏洞安全整改
修复环境:centos7及以上
安全基线的概念
安全基线是一个信息系统的最小安全保证,即该信息系统最基本需要满足的安全要求。信息
系统安全往往需要在安全付出成本与所能够承受的安全风险之间进行平衡,而安全基线正
是这个平衡的合理的分界线。不满足系统最基本的安全需求,也就无法承受由此带来的安全
风险,而非基本安全需求的满足同样会带来超额安全成本的付出,所以构造信息系统安全
基线已经成为系统安全工程的首要步骤,同时也是进行安全评估、解决信息系统安全性问题
的先决条件。
修复基线漏洞名称
- 口令锁定策略
- 登陆超时时间设置
- 限制root用户SSH远程登录
- 使用SSH协议进行远程维护
- 文件与目录缺省权限控制
- 账号文件权限设置
- 口令生存期
- 禁止UID为0的用户存在多个
- 口令复杂度
- root用户环境变量的安全性
- 限制root用户TELNET远程登录
- 启用远程日志功能
- 修改SSH的Banner信息
- 删除无关帐号
- 配置用户最小授权
- 记录安全事件日志
- 设置账户组
- 修改SSH的Banner警告信息
- 禁止IP路由转发
- 控制远程访问的IP地址
- 禁止存在空密码的帐户
- 禁止ICMP重定向
- 关闭不必要启动项
- 记录帐户登录日志
- 日志文件安全
- 口令重复次数限制
- 禁止root用户登录FTP
- 配置su命令使用情况记录
- 限制FTP用户登录后能访问的目录
- 使用PAM认证模块禁止wheel组之外的用户su为root
- 修改TELNET的Banner信息
- 禁止IP源路由
- 历史命令设置
- 对root为ls、rm设置别名
- 修改目标主机SSH服务存在RC4、CBC或None弱加密算法
- 检查别名文件/etc/aliase(或/etc/mail/aliases)配置
修复步骤
1、vim roles/security/defaults/main.yml(修改变量,按照实际需求修改)
# allow host ssh login
hosts_allow: {ssh: ['1.*.*.*']}
# admin user password
admin_password: "123456"
# root login
permit_root_login: "no"
# ssh host deny
hosts_deny: {ssh: {'192.168.1.*'}}
# ssh timeout
ssh_timeout: "90"
# ip version
ip_version: "4"
# Centralized log collect
remote_log_ip: ""
2、执行修复
ansible-playbook -i hosts config.yml
最新文章
- 使用Bandwagon的VPS第一件事《FQ》
- Linux服务器配置多台虚拟主机
- IOS 学习 开发 自定义 UINavigationController 导航
- python——初识socket
- GitHub入门之一:使用github下载项目
- 【20160924】GOCVHelper 图像增强部分(2)
- 第四章 CSS基础
- php 执行事务的时候pdo出现问题
- HDU 2121 Ice_cream’s world II 最小树形图
- 【技术贴】三星Note8 N5100实用教程,关闭相机快门声,增加浏览器退出按钮。
- ceph主要数据结构解析3-Ceph_fs.h文件
- 201521123035 《Java程序设计》第九周学习总结
- 浅析C#中单点登录的原理和使用
- 我的Python学习笔记(三):私有变量
- NoSuchMethodError 问题
- Hive SQL 编译过程
- 【FinacialKnowledge】财务报表及名词解释
- 前端静态资源版本更新与缓存之——通过gulp 在原html文件上自动化添加js、css版本号
- mysql数据库开放远程连接的方法
- 如何把rtl8188EUS驱动编译生成ko模块并且下载到rk平台Android4.2.2上使用