设备安全加固

安全加固涉及主机加固和容器应用加固，用于防止可能出现的安全隐患，保障设备和容器应用的安全，请用户根据实际需要进行安全加固操作。

禁止root用户远程登录。
在“/etc/ssh/sshd_config”文件中将PermitRootLogin参数设置为no。
使用Linux自带的ASLR（address space layout randomization）功能，增强漏洞攻击防护能力。
在“/proc/sys/kernel/randomize_va_space”文件中写入2。
将sudo命令中targetpw选项设置为默认要求输入目标用户的密码，防止增加sudo规则后，所有用户不需要输入root密码，就可以提权root帐号执行系统命令，导致普通用户越权执行命令。该选项默认不添加，建议添加该选项。
执行cat /etc/sudoers | grep -E "^[^#]*Defaults[[:space:]]+targetpw"命令检查是否存在“Defaults targetpw”或“Defaults rootpw”配置项。如果不存在，请在“/etc/sudoers”文件的“#Defaults specification”下添加“Defaults targetpw”或者“Defaults rootpw”配置项。
禁止普通用户或组通过所有命令提权到root用户。
执行cat /etc/sudoers命令检查“/etc/sudoers”文件中是否存在“root ALL=(ALL:ALL) ALL”和“root ALL=(ALL) ALL”之外的其他用户或组的(ALL) ALL和(ALL:ALL) ALL。如果存在，请根据实际业务场景确认是否需要，如果确认不需要，请删除。例如user ALL=(ALL) ALL、%admin ALL=(ALL) ALL或%sudo ALL=(ALL:ALL) ALL。
为保证能够生成安全的随机数，请确保操作系统支持getrandom系统调用（默认操作系统已支持）。

父主题： 安全加固说明