漏洞修复

你那个道上的
166 阅读3分钟

1、redis

1.1 高风险 redis 数据库日志存储时间未满足 6 个月要求

整改建议:建议在 redis.conf 文件中配置 logfile 存储路径,并将 Loglevel 值 设置为 verbose 级,并设置日志轮转的周期和时间使 redis 日志存储时间可以达 到 6 个月要求。

  1. 配置日志路径
logfile /opt/log/redis/redis.log

2. 设置日志级别

loglevel verbose

3. 设置日志轮转 进入/etc/logrotate.d/目录创建redis文件,填写如下内容:

/opt/log/redis/redis.log {
    monthly
    rotate 6
    compress
    delaycompress
    missingok
    notifempty
    create 640 root root
    postrotate
        /usr/bin/killall -HUP rsyslogd
    endscript
}

4. 重启redis bin目录下:

./redis-server ../redis.conf

1.2中风险 redis 数据库未开启超时连接自动退出功能

整改建议:建议在 redis.conf 文件中配置 timeout,设置超时连接 60 秒自动断 开连接。

  1. 设置超时时间
timeout 60

2. 重启redis

2、服务器漏洞

2.1 高风险服务器未配置密码复杂度策略和密码有效期策略。

整改建议:建议在 /etc/pam.d/system-auth 中设置密码复杂度策略,要求设置 密码长度至少为 8 位,并且包含大小写字母,数字和特殊字符;在 /etc/login.def s 文件中设置密码最长使用期限为 90 天。

  1. /etc/pam.d/system-auth 文件中,配置口令复杂度策略,如:
password requi site pam_cracklib.so retry=3 difok=3 minlen=8 ucredit=-1 lcredit=-2 dcredit=-1 9 dictpath=/usr/share/cracklib/pw_dict

注:

  • difok=3 (允许的新、旧密码相同字符的个数为 3 个),
  • retry=3 (最少不同字符为 3 个),
  • minlen=8 (密码最小密码长度为 8),
  • ucredit=-1 (至少包含 1 个大写字母),
  • lcredit=-2 (至少包含 2 个小写字母),
  • dcredit=-1 (至少包含 1 个数字),
  • ocredit=-1 (至少包含 1 个特殊字符),
  • dictpath=XXX (密码字典路径)。
  1. 进入到/etc/login.defs 文件中,设置密码有效期策略:
  • PASS_MAX_DAYS 90 (密码设置最长有效期 90 天)
  • PASS_MIN_DAYS 7 (密码设置最短有效期 7 天)
  • PASS_MIN_LEN 8 (设置密码最小长度是 8 位)
  • PASS_WARN_AGE7 7 (提前 7 天警告用户密码即将过期)

2.2 中风险服务器未设置超时连接自动退出功能。

整改建议:建议在/etc/profile 文件中设置超时 60 秒自动退出登录。

  • 进入到/etc/profile 中,添加配置 Export TMOUT=900。

2.3高风险服务器系统日志 wtmp 日志存储时间未满足 6 个月要求。

整改建议:建议修改日志轮转的配置文件 logrotate.conf 中的轮转周期和轮转 次数,使日志存储时间可以达到 6 个月的需求。

vi /etc/logrotate.conf 进入到配置文件中,设置日志存储满足 6 个月要求,设 置内容如下内容:

/var/log/wtmp { 
#以下参数仅对此目录有效 
weekly 
rotate 26 
missingok 
notifempty 
compress 
}

2.4 高风险服务器系统日志 audit 日志存储时间未满足 6 个月要求

整改建议:建议修改审计配置文件 auditd.conf 中关于审计日志文件的参数, 使日志存储时间可以达到 6 个月的需求。

修改审计配置文件/etc/audit/auditd.conf 中关于审计日志文件的大小的参数 此处 max_log_file 参数建议设置为 1024(单位为 M)

image.png 在/etc/logrotate.d/目录下创建文件 audit,并添加配置

/var/log/audit/audit.log { 
rotate 26 
weekly
dateext
missingok
notifempty
compress 
}

最后重启服务:service auditd restart

2.5 高风险服务器系统日志 secure 日志存储时间未满足 6 个月要求

整改建议:建议修改审计配置文件/etc/lograta.conf 中关于审计日志文件的参 数,使日志存储时间可以达到 6 个月的需求 在/etc/logratate.conf 文件中添加配置 vim /etc/logratate.conf

/var/log/secure{
rotate 26
weekly
missingok
notifempty
compress 
}
avatar
文章
阅读
粉丝