安全加固涉及主机加固和容器应用加固,用于防止可能出现的安全隐患,保障设备和容器应用的安全,请用户根据实际需要进行安全加固操作。
- 禁止root用户远程登录。
- 使用Linux自带的ASLR(address space layout randomization)功能,增强漏洞攻击防护能力。
- 将sudo命令中targetpw选项设置为默认要求输入目标用户的密码,防止增加sudo规则后,所有用户不需要输入root密码,就可以提权root帐号执行系统命令,导致普通用户越权执行命令。 该选项默认不添加,建议添加该选项。
执行cat /etc/sudoers | grep -E "^[^#]*Defaults[[:space:]]+targetpw"命令检查是否存在“Defaults targetpw”或“Defaults rootpw”配置项。如果不存在,请在“/etc/sudoers”文件的“#Defaults specification”下添加“Defaults targetpw”或者“Defaults rootpw”配置项。
- 禁止普通用户或组通过所有命令提权到root用户。
执行cat /etc/sudoers命令检查“/etc/sudoers”文件中是否存在“root ALL=(ALL:ALL) ALL”和“root ALL=(ALL) ALL”之外的其他用户或组的(ALL) ALL和(ALL:ALL) ALL。如果存在,请根据实际业务场景确认是否需要,如果确认不需要,请删除。例如user ALL=(ALL) ALL、%admin ALL=(ALL) ALL或%sudo ALL=(ALL:ALL) ALL。
- 为保证能够生成安全的随机数,请确保操作系统支持getrandom系统调用(默认操作系统已支持)。