麒麟操作系統(tǒng)麒麟操作系統(tǒng)安全基線配置操作手冊(cè)麒麟軟件有限公司KYI-KYOSER-V0聲明本手冊(cè)中所列舉的配置參數(shù)為麒麟操作系統(tǒng)初始狀態(tài)下或軟件安裝后默認(rèn)配置下的安全參考。在實(shí)際使用過(guò)程中，用戶方應(yīng)在充分考慮部署環(huán)境、相關(guān)應(yīng)用軟件的基礎(chǔ)上做好嚴(yán)格的功能、性能、可靠性和兼容性測(cè)試。前言隨著信息技術(shù)的飛速發(fā)展，操作系統(tǒng)作為信息系統(tǒng)的基礎(chǔ)核心平臺(tái)，其安全性、穩(wěn)定性和可靠性至關(guān)重要。銀河麒麟操作系統(tǒng)已廣泛應(yīng)用于我國(guó)黨政軍、金融、能源、交通等關(guān)鍵行業(yè)領(lǐng)域。為貫徹落實(shí)國(guó)家網(wǎng)絡(luò)安全等級(jí)保護(hù)制度及相關(guān)安全要求，規(guī)范銀河麒麟操作系統(tǒng)的部署與配置，有效防范和抵御潛在的安全威脅，提升信息系統(tǒng)的整體安全防護(hù)水平，在國(guó)家工業(yè)信息安全發(fā)展研究中心和工業(yè)和信息化部網(wǎng)絡(luò)安全威脅和漏洞信息共享平臺(tái)信創(chuàng)政務(wù)產(chǎn)品安全漏洞專業(yè)庫(kù)指導(dǎo)下，由編制組完成本手冊(cè)撰寫。規(guī)范，結(jié)合銀河麒麟操作系統(tǒng)的技術(shù)特性，詳細(xì)闡述了從安全服務(wù)、內(nèi)核參數(shù)、安全網(wǎng)絡(luò)、系統(tǒng)命令、系統(tǒng)審計(jì)等全方位的安全加固步驟與配置方法。通過(guò)遵循本手冊(cè)的指導(dǎo)進(jìn)行系統(tǒng)配置，可以顯著減少系統(tǒng)的攻擊面，增強(qiáng)身份鑒別與訪問(wèn)控制能力，確保數(shù)據(jù)保密性與完整性，并建立有效的安全審計(jì)追蹤機(jī)制，從而構(gòu)建一個(gè)更加堅(jiān)固和可信的計(jì)算環(huán)境。請(qǐng)注意，本手冊(cè)提供的配置建議是基于通用安全場(chǎng)景，在實(shí)際應(yīng)用環(huán)境中，請(qǐng)您根據(jù)業(yè)務(wù)系統(tǒng)的具體需求、性能要求及面臨的獨(dú)特威脅進(jìn)行審慎評(píng)估和適應(yīng)性調(diào)整。我們強(qiáng)烈建議在將任何配置變更應(yīng)用于生產(chǎn)環(huán)境之前，在測(cè)試環(huán)境中進(jìn)行充分的驗(yàn)證和測(cè)試。由于操作系統(tǒng)版本和軟件生態(tài)的持續(xù)演進(jìn)，本手冊(cè)的內(nèi)容將不定期更新。請(qǐng)確保您使用的是最新版本的手冊(cè)，并密切關(guān)注官方發(fā)布的安全公告和更新指引。希望本手冊(cè)能成為您構(gòu)建安全、穩(wěn)定、高效的銀河麒麟操作系統(tǒng)環(huán)境的得力助手，共同筑牢國(guó)家網(wǎng)絡(luò)空間的安全基石。202508參編單位國(guó)家工業(yè)信息安全發(fā)展研究中心工業(yè)和信息化部網(wǎng)絡(luò)安全威脅和漏洞信息共享平臺(tái)信創(chuàng)政務(wù)產(chǎn)品安全漏洞專業(yè)庫(kù)麒麟軟件有限公司麒麟軟件安全生態(tài)聯(lián)盟目 錄加項(xiàng)說(shuō)明 1安服務(wù) 2禁不必的系服務(wù) 2設(shè)置ssh登前警告Banner 5設(shè)置ssh成登錄后Banner信息 8禁止root用登錄SSH 10設(shè)置ssh安協(xié)議 12設(shè)置ssh日等級(jí) 14設(shè)置ssh失嘗試數(shù) 16禁用ssh空碼用登錄 17禁用ssh環(huán)處理 19開啟ssh強(qiáng)密算法 20開啟ssh服自啟動(dòng) 22錄t務(wù) 4的td務(wù) 5關(guān)系統(tǒng)必要端口 28限制ssh服可訪源 31設(shè)登錄系統(tǒng)示信息 35內(nèi)參數(shù) 36止mp文 6止s向 8略mpo播 0止mp由 2止frd發(fā) 4安網(wǎng)絡(luò) 45修改snmp默團(tuán)體字 45系命令 47啟用sudo日志 47設(shè)置sudo命使用終端行 49設(shè)使用定用戶sudo提需輸指定戶的碼 51配置su命使用況記錄 52限輸出保留史命的條數(shù) 54系審計(jì) 56開審計(jì)制 56務(wù)g 0記用戶設(shè)備操作 62記用戶錄日志 65配安全件日志 67啟用cron行日志能 68具E 0系設(shè)置 72設(shè)命令超時(shí)出 72設(shè)系統(tǒng)導(dǎo)管器密碼 73管理sudo權(quán)限 75限制su命的訪問(wèn) 78檢是否裝時(shí)同步件包 79設(shè)系統(tǒng)間同步 81禁系統(tǒng)動(dòng)登錄 83禁止ssh免登錄 85設(shè)守護(hù)程的umask值 87限多重發(fā)會(huì)數(shù) 90潛風(fēng)險(xiǎn) 91s名 1ms名 3刪潛在險(xiǎn).netrc文件 94險(xiǎn)v件 5刪潛在險(xiǎn).rhosts文件 96制v 8關(guān)系統(tǒng)任機(jī)制rhosts 99文權(quán)限 100刪無(wú)屬屬主文件文件夾 100設(shè)用戶錄缺訪問(wèn)限 102限重要錄或件權(quán)限 104禁日志件全可讀寫 106風(fēng)賬戶 108刪與設(shè)運(yùn)行維護(hù)工作關(guān)賬戶 108刪空口賬戶 110禁系賬戶進(jìn)交互登錄 112除t外d為0戶 3密強(qiáng)度 115設(shè)系統(tǒng)碼復(fù)度 115設(shè)口令期前告天數(shù) 116限口令存周期 118限口令小長(zhǎng)度 119限口令改最間隔 121限密碼復(fù)使次數(shù) 122加口令密碼法 126賬鎖定 128設(shè)賬戶錄失鎖定能 128系安全 134開防火功能 134用x 7加項(xiàng)與別對(duì)關(guān)系表 142加固項(xiàng)說(shuō)明（）；++"要求"表示核心配置，通常情況下必須滿足；"建議"表示開啟后對(duì)系統(tǒng)影響較大建議配置議滿足；"V4、中標(biāo)麒麟高級(jí)服務(wù)器操作系統(tǒng)V7V10V10SPX、銀河麒麟桌面操作系統(tǒng)V10SP1"；""。其他V7/V10/V10SPXyum源，通過(guò)yuminstallV4安裝軟件包：使用deb/kylin/KYLIN-ALL10.0mainrestricteduniversemultiverse源，通過(guò)sudoaptinstallV4sudo安全服務(wù)禁用不必要的系統(tǒng)服務(wù)級(jí)別建議適用版本V4V7銀河麒麟高級(jí)服務(wù)器操作系統(tǒng)V10SPX銀河麒麟桌面操作系統(tǒng)V10SP1說(shuō)明服務(wù)器禁用不必要的系統(tǒng)服務(wù)：u{cp.rce,u-p.cke}、nal{nmileice}、{.eic,nereice、dnah.ck}、lknlk.cktnlk.rie}、t{hcdeice}、id{bn.eic}、lck{-ck.eic}、{t.eic,t.cke}、crcdsice}、psd.vce}。桌面禁用不必要的系統(tǒng)服務(wù)：u{cp.rce}、pfdp.rie}、c{ncsice}、{fdsice}。檢查方法通過(guò)如下命令檢查不必要的服務(wù)是否已禁用：[root@localhost~]#systemctlis-enabled<[root@localhost~]#systemctlis-enabled<服務(wù)名>disableddisabled[root@localhost~]#systemctlis-active<服務(wù)名>inactive結(jié)果為diable代表禁止服務(wù)自啟動(dòng)；結(jié)果為inactive、unknow代表服務(wù)處于非活躍的狀態(tài)，滿足基線要求，無(wú)需加固，否則建議執(zhí)行加固方法。修改建議加固方法通過(guò)如下命令禁用不必要的服務(wù)：[root@localhost~]#systemctldisable<[root@localhost~]#systemctldisable<服務(wù)名>[root@localhost~]#systemctlstop<服務(wù)名>還原方法如果檢查時(shí)服務(wù)為啟用狀態(tài)，使用如下方法開啟不必要的服務(wù)：[root@localhost~]#systemctlenable<[root@localhost~]#systemctlenable<服務(wù)名>[root@localhost~]#systemctlstart<服務(wù)名>修改影響禁用不必要的系統(tǒng)服務(wù)可以減少攻擊面，加固后無(wú)法使用如下服務(wù)：cups{cups.service,cups-lpd.socket}、sendmail{sendmail.service}、nfs{nfs.service,nfs-server.service}、ident{auth.socket}、ntalk{ntalk.socket,ntalk.service}、bootps{dhcpd.service}、ypbind{ypbind.service}、nfs-lock{nfs-lock.service}、tftp{tftp.service,tftp.socket}、rsync{rsyncd.service}、vsftp{vsftpd.service}，加固項(xiàng)功能如下表所示。禁用服務(wù)的功能說(shuō)明表服務(wù)功能cupsCUPS服務(wù)支持本地打印機(jī)、網(wǎng)絡(luò)打印機(jī)，并能夠共享打印機(jī)。sendmailSendmail服務(wù)是一種電子郵件傳輸代理程序，它允許用戶在本地和遠(yuǎn)程主機(jī)之間發(fā)送和接收郵件。nfsNFS（NetworkFileSystem）是一種分布式文件系統(tǒng)協(xié)議，它允許用戶在客戶端和服務(wù)器之間共享文件和目錄。。identIndent服務(wù)是一種認(rèn)證機(jī)制，它允許用戶通過(guò)網(wǎng)絡(luò)協(xié)議（如SSH）訪問(wèn)服務(wù)器上的資源。ntalkNtalk是一種基于文本的聊天服務(wù)，它允許用戶通過(guò)網(wǎng)絡(luò)協(xié)議（如TCP/IP）進(jìn)行實(shí)時(shí)通信。bootpsBOOTP是一種用于網(wǎng)絡(luò)設(shè)備自動(dòng)配置的協(xié)議，它允許無(wú)盤工作站從網(wǎng)絡(luò)上獲取IP地址、子網(wǎng)掩碼、默認(rèn)網(wǎng)關(guān)等信息。。ypbindypbind（YellowPagesBind）是NIS（NetworkInformationService）的客戶端守護(hù)進(jìn)程。nfs-lockNFS-Lock服務(wù)是NetworkFileSystem（NFS）的一部分，它負(fù)責(zé)在客戶端和服務(wù)器之間協(xié)調(diào)文件鎖定。tftpTFTP（TrivialFileTransferProtocol）是一種簡(jiǎn)單的文件傳輸協(xié)議，它允許用戶在客戶端和服務(wù)器之間上傳或下載文件。rsyncRSync服務(wù)是一種文件同步工具，它允許用戶在本地和遠(yuǎn)程主機(jī)之間進(jìn)行快速、安全的數(shù)據(jù)備份和遷移。vsftpVSFTP（VSFTPD，代表“VerySecureFTPDaemon”）是GPLUnixFTP服務(wù)器軟件，其全VerySecureFTPssh登錄前警告Banner級(jí)別要求適用版本V4V7銀河麒麟高級(jí)服務(wù)器操作系統(tǒng)V10SPX說(shuō)明檢查系統(tǒng)openssh安全配置，設(shè)置ssh登錄前警告Banner。檢查方法通過(guò)如下命令檢查/etc/ssh/sshd_config文件中Banner后路徑是否為/etc/：[root@localhost~]#grep"^Banner"/etc/ssh/sshd_config[root@localhost~]#grep"^Banner"/etc/ssh/sshd_configBanner/etc/檢查/etc/文件中是否包含如下行：Authorizedusersonly.Allactivitiesmaybemonitoredandreported.Authorizedusersonly.Allactivitiesmaybemonitoredandreported.Banner后路徑為/etc/；/etc/文件存在上述行，滿足基線要求，無(wú)需加固，否則建議執(zhí)行加固方法。修改建議加固方法編輯/etc/ssh/sshd_config文件，如果存在Banner在行首添加"#"進(jìn)行注釋，在注釋行之后添加以下內(nèi)容，不存在Banner行在文件末添加以下內(nèi)容：Banner/etc/Banner/etc/通過(guò)如下命令設(shè)置相關(guān)警告信息：[root@localhost[root@localhost~]#echo "AuthorizedusersAllactivitiesmaybemonitoredandreported.">/etc/通過(guò)如下命令，重啟sshd服務(wù):[root@localhost~]#systemctlrestartsshd[root@localhost~]#systemctlrestartsshd還原方法編輯/etc/ssh/sshd_config文件將加固時(shí)新增的行刪除，如果文件默認(rèn)存在未注[root@localhost~]#systemctlrestartsshdbanner行，去掉Banner行的注釋，恢復(fù)/etc/文件。通過(guò)如下命令，重啟sshd服務(wù):[root@localhost~]#systemctlrestartsshd適用版本銀河麒麟桌面操作系統(tǒng)V10SP1說(shuō)明檢查系統(tǒng)openssh安全配置，設(shè)置ssh登錄前警告Banner。檢查方法通過(guò)如下命令檢查/etc/ssh/sshd_config文件中Banner后路徑是否為/etc/：kylin@Kylin:~$sudogrep"^Banner"/etc/ssh/sshd_configkylin@Kylin:~$sudogrep"^Banner"/etc/ssh/sshd_configBanner/etc/Banner/etc/檢查/etc/文件中是否包含如下行（默認(rèn)值為KylinV10SP1）：Authorizedusersonly.Allactivitiesmaybemonitoredandreported.Authorizedusersonly.Allactivitiesmaybemonitoredandreported.結(jié)果為Banner后路徑為/etc/；/etc/文件存在上述行，滿足基線要求，無(wú)需加固，否則建議執(zhí)行加固方法。修改建議加固方法編輯/etc/ssh/sshd_config文件，如果存在Banner在行首添加"#"進(jìn)行注釋，在注釋行之后添加以下內(nèi)容，不存在Banner行在文件末添加以下內(nèi)容：Banner/etc/Banner/etc/通過(guò)如下命令設(shè)置相關(guān)警告信息：kylin@Kylin:~$sudobash-c'echo"Authorizedusersonly.Allactivitiesmaybemonitoredandreported.">/etc/'kylin@Kylin:~$sudobash-c'echo"Authorizedusersonly.Allactivitiesmaybemonitoredandreported.">/etc/'通過(guò)如下命令，重啟sshd服務(wù):kylin@Kylin:~$sudosystemctlrestartsshdkylin@Kylin:~$sudosystemctlrestartsshd還原方法編輯/etc/ssh/sshd_config文件將加固時(shí)新增的行刪除，如果文件默認(rèn)存在未注kylin@Kylin:~$sudosystemctlrestartsshdbanner行，去掉Banner行的注釋，恢復(fù)/etc/文件(KylinV10SP1)。通過(guò)如下命令，重啟sshd服務(wù):kylin@Kylin:~$sudosystemctlrestartsshd修改影響雖然Banner不會(huì)直接阻止未經(jīng)授權(quán)的訪問(wèn)，但它是一種很好的預(yù)防措施，有助于提高整個(gè)系統(tǒng)的安全性。ssh成功登錄后Banner信息級(jí)別要求適用版本V4V7銀河麒麟高級(jí)服務(wù)器操作系統(tǒng)V10SPX說(shuō)明檢查系統(tǒng)openssh安全配置，設(shè)置ssh登錄后警告Banner。檢查方法通過(guò)如下命令驗(yàn)證SSH服務(wù)是否應(yīng)用pam_motd.so模塊：pam_motd.sopam_motd.sooptionalsession[root@localhost~]#grep"pam_motd.so"/etc/pam.d/sshd|grep"session"|grep"optional"通過(guò)如下命令檢查/etc/motd文件是否包含如下內(nèi)容:[root@localhost~]#cat/etc/motd[root@localhost~]#cat/etc/motdLoginsuccess.Allactivitywillbemonitoredandreported.結(jié)果為/etc/pam.d/sshd存在上述行；/etc/motd文件存在上述行，滿足基線要求，無(wú)需加固，否則建議執(zhí)行加固方法，加固前先記錄一下/etc/motd文件的默認(rèn)內(nèi)容。修改建議加固方法編輯/etc/pam.d/sshd文件，添加如下行確保ssh應(yīng)用pam_motd.so模塊：sessionoptionalpam_motd.sosessionoptionalpam_motd.so通過(guò)如下命令設(shè)置相關(guān)警告信息：[root@localhost~]#echo"Loginsuccess.Allactivitywillbemonitoredandreported.">/etc/motd[root@localhost~]#echo"Loginsuccess.Allactivitywillbemonitoredandreported.">/etc/motd還原方法編輯/etc/pam.d/sshd文件將加固時(shí)新增的行刪除：sessionoptionalpam_motd.sosessionoptionalpam_motd.so編輯/etc/motd文件恢復(fù)默認(rèn)內(nèi)容，刪除添加的信息：Loginsuccess.Allactivitywillbemonitoredandreported.Loginsuccess.Allactivitywillbemonitoredandreported.適用版本銀河麒麟桌面操作系統(tǒng)V10SP1說(shuō)明檢查系統(tǒng)openssh安全配置，設(shè)置ssh登錄后警告Banner。檢查方法kylin@Kylin:~$sudogrepkylin@Kylin:~$sudogrep"pam_motd.so"/etc/pam.d/sshd|grep"session"|grep"optional"sessionoptionalpam_motd.so motd=/run/motd.dynamicsessionoptionalpam_motd.sonoupdate通過(guò)如下命令檢查/etc/update-motd.d/00-header文件是否包含如下內(nèi)容:kylin@Kylin:~$sudocat/etc/update-motd.d/00-header|grep'Loginsuccess'kylin@Kylin:~$sudocat/etc/update-motd.d/00-header|grep'Loginsuccess'printf'Authorizedusersonly.Allactivitiesmaybemonitoredandreported.'printf'Authorizedusersonly.Allactivitiesmaybemonitoredandreported.'結(jié)果為/etc/pam.d/sshd存在上述行；/etc/motd文件存在上述行，滿足基線要求，無(wú)需加固，否則建議執(zhí)行加固方法，加固前先記錄一下/etc/motd文件的默認(rèn)內(nèi)容。修改建議加固方法編輯/etc/pam.d/sshd文件，添加如下行確保ssh應(yīng)用pam_motd.so模塊：sessionoptionalpam_motd.sosessionoptionalpam_motd.so通過(guò)如下命令在/etc/update-motd.d/00-header設(shè)置相關(guān)警告信息：kylin@Kylin:~$echo"printf'Loginsuccess.Allactivitiesmaybemonitoredandreported.'"|sudotee-a/etc/update-motd.d/00-header>/dev/nullkylin@Kylin:~$echo"printf'Loginsuccess.Allactivitiesmaybemonitoredandreported.'"|sudotee-a/etc/update-motd.d/00-header>/dev/null還原方法編輯/etc/pam.d/sshd文件將加固時(shí)新增的行刪除：sessionoptionalpam_motd.sosessionoptionalpam_motd.so編輯/etc/motd文件恢復(fù)默認(rèn)內(nèi)容，刪除添加的信息：printf'Loginsuccess.Allactivitiesmaybemonitoredandreported.'printf'Loginsuccess.Allactivitiesmaybemonitoredandreported.'修改影響雖然Banner不會(huì)直接阻止未經(jīng)授權(quán)的訪問(wèn)，但它是一種很好的預(yù)防措施，有助于提高整個(gè)系統(tǒng)的安全性。root用戶登錄SSH級(jí)別要求適用版本V4V7銀河麒麟高級(jí)服務(wù)器操作系統(tǒng)V10SPX銀河麒麟桌面操作系統(tǒng)V10SP1說(shuō)明檢查系統(tǒng)openssh安全配置，禁止root用戶通過(guò)ssh登錄。檢查方法通過(guò)如下命令驗(yàn)證是否已配置ssh禁止root登錄，配置PermitRootLogin為no：[root@localhost~]#grep"^PermitRootLogin"/etc/ssh/sshd_config[root@localhost~]#grep"^PermitRootLogin"/etc/ssh/sshd_configPermitRootLoginno結(jié)果為PermitRootLoginno滿足基線要求，無(wú)需加固，否則建議執(zhí)行加固方法。修改建議加固方法PermitRootLoginno編輯/etc/ssh/sshd_config文件，如果存在未注釋的PermitRootLogin行，在行首添加"#"進(jìn)行注釋，在注釋行之后添加以下內(nèi)容，不存在PermitRootLogin參數(shù)在文件末添加以下內(nèi)容：PermitRootLoginno然后重啟ssh服務(wù)：[root@localhost~]#systemctlrestartsshd[root@localhost~]#systemctlrestartsshd還原方法編輯/etc/ssh/sshd_config文件將加固時(shí)新增的行刪除，恢復(fù)文件默認(rèn)內(nèi)容，重啟sshd服務(wù)：[root@localhost~]#systemctlrestartsshd[root@localhost~]#systemctlrestartsshd修改影響root用戶無(wú)法通過(guò)ssh服務(wù)遠(yuǎn)程登錄本服務(wù)器。設(shè)置ssh安全協(xié)議級(jí)別要求適用版本V4V7銀河麒麟高級(jí)服務(wù)器操作系統(tǒng)V10SPX銀河麒麟桌面操作系統(tǒng)V10SP1說(shuō)明檢查系統(tǒng)openssh安全配置，ssh服務(wù)使用安全的協(xié)議版本。ProtocolSSHSSH中，有兩種主要的協(xié)議版本：SSH1SSH2SecureShell協(xié)議的第一版和第二版，它們各自遵循不同的標(biāo)準(zhǔn)：SSH1SSH1TatuYl?nen1995年開發(fā)。它并未嚴(yán)IETF（InternetEngineeringTaskForce）的標(biāo)準(zhǔn)制定流程，但它是最早被SSH協(xié)議版本。SSH11.31.5等。SSH2：SSH2是對(duì)SSH1的重大改進(jìn)和重新設(shè)計(jì)，它是一個(gè)更加安全且功能更豐富的版本。SSH2通過(guò)一系列RFC文檔進(jìn)行了標(biāo)準(zhǔn)化，這些RFC包括但不限于以下幾項(xiàng)：RFC4250：定義了SSH協(xié)議的整體框架。RFC4251：描述了SSH協(xié)議的消息格式、數(shù)據(jù)類型以及通用約定。RFC4252：詳細(xì)說(shuō)明了SSH的身份驗(yàn)證協(xié)議，包括公鑰認(rèn)證機(jī)制。RFC4253：定義了SSH傳輸層協(xié)議，用于加密和壓縮會(huì)話數(shù)據(jù)。RFC4254：規(guī)定了SSH連接協(xié)議，涉及通道、會(huì)話和遠(yuǎn)程命令執(zhí)行等方面。RFC4255：定義了SSH公鑰指紋格式。它們?cè)诎踩院凸δ苌嫌酗@著的區(qū)別：安全性改進(jìn)：SSH1存在一些已知的安全漏洞，尤其是在其加密和認(rèn)證機(jī)制上。SSH1使用較弱SSH2成熟。SSH2AES（高級(jí)加密標(biāo)準(zhǔn)）SSH1DES、3DES并且改進(jìn)了密鑰交換協(xié)議，提高了整體安全性。SSH2CRC校驗(yàn)碼，而是采用更為安全的消息認(rèn)證碼（MACs）來(lái)確保數(shù)據(jù)的完整性和防篡改。兼容性與標(biāo)準(zhǔn)化：SSH2SSH1的問(wèn)題，但為了增強(qiáng)安全性做出了這種SSH2SSH1客戶端連接，反之亦然。SSH2被IETF標(biāo)準(zhǔn)（RFC4250RFC4256），SSH1則沒有得到這樣的標(biāo)準(zhǔn)化。功能擴(kuò)展：SSH2SFTP（安全文件傳輸協(xié)議）SCPSSH2TCP連接上同時(shí)進(jìn)行多SFTPshellSSH2發(fā)布以來(lái)，業(yè)界普遍推薦并優(yōu)先使用SSH2，許多系統(tǒng)和服務(wù)都已經(jīng)不再支持SSH1以避免潛在的安全風(fēng)險(xiǎn)。檢查方法通過(guò)如下命令驗(yàn)證是否使用安全的協(xié)議版本：[root@localhost~]#grep"^Protocol"/etc/ssh/sshd_config[root@localhost~]#grep"^Protocol"/etc/ssh/sshd_configProtocol2結(jié)果為Protocol2滿足基線要求，無(wú)需加固，否則建議執(zhí)行加固方法。修改建議加固方法Protocol2編輯/etc/ssh/sshd_config文件，如果存在未注釋的Protocol行在首添加"#"進(jìn)行注釋，在注釋行之后添加以下內(nèi)容，不存在參數(shù)在文件末添加以下內(nèi)容：Protocol2然后重啟ssh服務(wù)：[root@localhost~]#systemctlrestartsshd[root@localhost~]#systemctlrestartsshd還原方法編輯/etc/ssh/sshd_config文件把加固時(shí)新增的行刪除，恢復(fù)文件默認(rèn)內(nèi)容，然后重啟sshd服務(wù):[root@localhost~]#systemctlrestartsshd[root@localhost~]#systemctlrestartsshd修改影響可以提高系統(tǒng)的安全性，并且與現(xiàn)代的安全標(biāo)準(zhǔn)保持一致,但不兼容舊版本。設(shè)置ssh日志等級(jí)級(jí)別要求適用版本V4V7銀河麒麟高級(jí)服務(wù)器操作系統(tǒng)V10SPX銀河麒麟桌面操作系統(tǒng)V10SP1說(shuō)明檢查系統(tǒng)openssh安全配置，設(shè)置ssh日志等級(jí)。LogLevel控制在系統(tǒng)日志中記錄的SSH服務(wù)事件的詳細(xì)程度，設(shè)置為INFO會(huì)記錄大部分重要的事件，但不會(huì)生成過(guò)于冗長(zhǎng)的日志。檢查方法通過(guò)如下命令驗(yàn)證是否配置安全的SSH日志等級(jí)：[root@localhost~]#grep"^LogLevel"/etc/ssh/sshd_config[root@localhost~]#grep"^LogLevel"/etc/ssh/sshd_configLogLevelINFO結(jié)果為L(zhǎng)ogLevelINFO滿足基線要求，無(wú)需加固，否則建議執(zhí)行加固方法。修改建議加固方法編輯/etc/ssh/sshd_config文件找到LogLevel所在行，如果存在未注釋的Loglevel在行首添加"#"進(jìn)行注釋，在注釋行之后添加以下內(nèi)容不，不存在參數(shù)在文件末添加以下內(nèi)容:LogLevelINFOLogLevelINFO然后重啟ssh服務(wù)：[root@localhost~]#systemctlrestartsshd[root@localhost~]#systemctlrestartsshd還原方法編輯/etc/ssh/sshd_config文件把加固時(shí)新增的行刪除，再去掉查找到的LogLevel所在行的行首的"#"，然后重啟ssh服務(wù)：[root@localhost~]#systemctlrestartsshd[root@localhost~]#systemctlrestartsshd修改影響記錄一般性的信息，包括成功的登錄。設(shè)置ssh失敗嘗試次數(shù)級(jí)別要求適用版本銀河麒麟高級(jí)服務(wù)器操作系統(tǒng)V10SPX銀河麒麟桌面操作系統(tǒng)V10SP1說(shuō)明檢查系統(tǒng)openssh安全配置，設(shè)置SSH失敗嘗試次數(shù)。MaxAuthTries控制在斷開連接之前客戶端嘗試身份驗(yàn)證的最大次數(shù)。檢查方法通過(guò)如下命令驗(yàn)證SSH失敗嘗試次數(shù)是否小于或等于4：[root@localhost~]#grep"^MaxAuthTries"/etc/ssh/sshd_config[root@localhost~]#grep"^MaxAuthTries"/etc/ssh/sshd_configMaxAuthTries4MaxAuthTries44滿足基線要求，無(wú)需加固，否則建議執(zhí)行加固方法。修改建議加固方法編輯/etc/ssh/sshd_configMaxAuthTries所在行，如果存在未注釋的MaxAuthTries在行首添加"#"進(jìn)行注釋，在注釋行之后添加以下內(nèi)容，不存在參數(shù)在文件末添加以下內(nèi)容:MaxAuthTries4MaxAuthTries4然后重啟ssh服務(wù)：[root@localhost~]#systemctlrestartsshd[root@localhost~]#systemctlrestartsshd還原方法編輯/etc/ssh/sshd_config文件把加固時(shí)新增的行刪除，恢復(fù)文件默認(rèn)內(nèi)容，然后重啟sshd服務(wù)：[root@localhost~]#systemctlrestartsshd[root@localhost~]#systemctlrestartsshd修改影響44次嘗試失敗后，SSH減少暴力破解密碼的可能性。禁用ssh空密碼用戶登錄級(jí)別要求適用版本V4V7銀河麒麟高級(jí)服務(wù)器操作系統(tǒng)V10SPX銀河麒麟桌面操作系統(tǒng)V10SP1說(shuō)明允許空密碼意味著任何人都可以無(wú)需身份驗(yàn)證就訪問(wèn)你的系統(tǒng)，這會(huì)極大地增加被惡意攻擊的風(fēng)險(xiǎn)，麒麟建議關(guān)閉ssh空密碼登錄。檢查方法通過(guò)如下命令驗(yàn)證是否禁止空密碼用戶通過(guò)SSH登錄：[root@localhost~]#grep"^PermitEmptyPasswords"/etc/ssh/sshd_config[root@localhost~]#grep"^PermitEmptyPasswords"/etc/ssh/sshd_configPermitEmptyPasswordsno結(jié)果為PermitEmptyPasswordsno滿足基線要求，無(wú)需加固，否則建議執(zhí)行加固方法。修改建議加固方法編輯/etc/ssh/sshd_configPermitEmptyPasswords所在行，如果存在未注釋的PermitEmptyPasswords行，在行首添加"#"進(jìn)行注釋，在注釋行之后添加以下內(nèi)容:PermitEmptyPasswordsnoPermitEmptyPasswordsno然后重啟sshd服務(wù)：[root@localhost~]#systemctlrestartsshd[root@localhost~]#systemctlrestartsshd還原方法編輯/etc/ssh/sshd_config文件把加固時(shí)新增的行刪除，如果存在未注釋的PermitEmptyPasswords再去掉查找到的PermitEmptyPasswords所在行的行首的"#"，然后重啟：[root@localhost~]#systemctlrestartsshd[root@localhost~]#systemctlrestartsshd修改影響不允許用戶使用空密碼進(jìn)行登錄。ssh環(huán)境處理級(jí)別要求適用版本V4V7銀河麒麟高級(jí)服務(wù)器操作系統(tǒng)V10SPX銀河麒麟桌面操作系統(tǒng)V10SP1說(shuō)明檢查系統(tǒng)openssh安全配置，禁用SSH環(huán)境處理。啟用PermitUserEnvironment可能會(huì)帶來(lái)一些安全風(fēng)險(xiǎn)，因?yàn)楣粽呖赡車L試通過(guò)修改用戶的~/.ssh/environment文件來(lái)注入惡意環(huán)境變量。檢查方法通過(guò)如下命令驗(yàn)證SSH環(huán)境處理是否禁用：[root@localhost~]#grep"^PermitUserEnvironment"/etc/ssh/sshd_config[root@localhost~]#grep"^PermitUserEnvironment"/etc/ssh/sshd_configPermitUserEnvironmentno結(jié)果為PermitUserEnvironmentno滿足基線要求，無(wú)需加固，否則建議執(zhí)行加固方法。修改建議加固方法編輯/etc/ssh/sshd_config文件，如果存在未注釋的PermitUserEnvironment行，在行首添加"#"進(jìn)行注釋，在注釋行之后添加以下內(nèi)容，如果不存在該參數(shù)在文件末添加以下內(nèi)容:PermitUserEnvironmentnoPermitUserEnvironmentno然后重啟sshd服務(wù)：[root@localhost~]#systemctlrestartsshd[root@localhost~]#systemctlrestartsshd還原方法編輯/etc/ssh/sshd_config文件把加固時(shí)新增的行全部刪除，恢復(fù)文件默認(rèn)內(nèi)容，sshd服務(wù)：[root@localhost~]#systemctlrestartsshd[root@localhost~]#systemctlrestartsshd修改影響用戶在/./einet文件中定義的環(huán)境變量不會(huì)生效。開啟ssh強(qiáng)加密算法級(jí)別要求適用版本中標(biāo)麒麟高級(jí)服務(wù)器操作系統(tǒng)V7銀河麒麟高級(jí)服務(wù)器操作系統(tǒng)V10銀河麒麟高級(jí)服務(wù)器操作系統(tǒng)V10SPX說(shuō)明檢查系統(tǒng)openssh安全配置，啟用強(qiáng)加密算法。以下是一些公認(rèn)的弱加密算法：Arcfour，也稱為RC4，是由RonRivest在1987年設(shè)計(jì)的一種流密碼算法。MD5：盡管MD5在哈希領(lǐng)域廣泛使用，但由于其碰撞可能性較大，已被認(rèn)為不適合用于密碼哈希或任何需要保證數(shù)據(jù)完整性和唯一性的場(chǎng)景。3DES（TripleDES/TDEA）：雖然比DES有所改進(jìn)，通過(guò)三次使用DES算法增強(qiáng)了安全性，但仍因其較低的密鑰效率和相對(duì)較短的有效密鑰長(zhǎng)度（實(shí)質(zhì)上是168位，但因?yàn)橹貜?fù)使用部分密鑰，實(shí)際強(qiáng)度低于理論值）而不被視為理想的加密手段。RC4：一種流密碼，曾廣泛應(yīng)用于SSL/TLS協(xié)議中，但由于多種安全問(wèn)題，現(xiàn)在已經(jīng)廢棄不用?，F(xiàn)代加密實(shí)踐中，推薦使用高級(jí)加密標(biāo)準(zhǔn)（AES）以及其他經(jīng)過(guò)時(shí)間和攻擊考驗(yàn)的安全算法，如RSA、ECC（橢圓曲線加密）、SHA-2或SHA-3系列散列函數(shù)等。此外，對(duì)于密鑰交換，TLS協(xié)議中常用的是DH（Diffie-Hellman）或ECDH（EllipticCurveDiffie-Hellman）算法。檢查方法通過(guò)如下命令檢查系統(tǒng)加密算法中不包含弱加密算法arcfour、3des、md5、rc4：[root@localhost~]#cat/etc/ssh/sshd_config|grep-v'^#'|grepCiphers[root@localhost~]#cat/etc/ssh/sshd_config|grep-v'^#'|grepCiphersCiphersaes128-ctr,aes192-ctr,aes256-ctr,aes128-gcm@,aes256-gcm@,chacha20-poly1305@結(jié)果Ciphers后不包含arcfour、3des、md5、rc4滿足基線要求，無(wú)需加固，否則建議執(zhí)行加固方法。修改建議加固方法編輯/etc/ssh/sshd_config文件Ciphers所在行，在行首添加"#"進(jìn)行注釋，在注釋行之后添加以下內(nèi)容：Ciphersaes128-ctr,aes192-ctr,aes256-ctr,aes128-cbcCiphersaes128-ctr,aes192-ctr,aes256-ctr,aes128-cbc然后重啟ssh服務(wù)：[root@localhost~]#systemctlrestartsshd[root@localhost~]#systemctlrestartsshd還原方法編輯/etc/ssh/sshd_config文件把以下加固時(shí)新增的行全部刪除，再去掉查找到的Ciphers所在行的行首的"#"：Ciphersaes128-ctr,aes192-ctr,aes256-ctr,aes128-cbcCiphersaes128-ctr,aes192-ctr,aes256-ctr,aes128-cbc然后重啟ssh服務(wù)：[root@localhost~]#systemctlrestartsshd[root@localhost~]#systemctlrestartsshd修改影響強(qiáng)加密算法通常具有更高的加密強(qiáng)度和更復(fù)雜的加密過(guò)程，這使得數(shù)據(jù)在傳輸過(guò)程中更難被破解?？梢蕴岣逽SH通信的安全性，并保持與現(xiàn)代安全標(biāo)準(zhǔn)的兼容性。這對(duì)于保護(hù)敏感信息，如用戶憑據(jù)、命令執(zhí)行結(jié)果和其他關(guān)鍵數(shù)據(jù)至關(guān)重要。開啟ssh服務(wù)自啟動(dòng)級(jí)別要求適用版本V4V7銀河麒麟高級(jí)服務(wù)器操作系統(tǒng)V10SPX說(shuō)明對(duì)于使用IP協(xié)議進(jìn)行遠(yuǎn)程維護(hù)的設(shè)備，應(yīng)配置使用SSH協(xié)議。檢查方法通過(guò)如下命令驗(yàn)證ssh服務(wù)是否已開啟：[root@localhost~]#systemctlis-enabledsshd.serviceenable[root@localhost~]#systemctlis-enabledsshd.serviceenable[root@localhost~]#systemctlis-active sshd.serviceactive結(jié)果為enable代表禁止服務(wù)自啟動(dòng)；結(jié)果為active代表服務(wù)處于非活躍的狀態(tài)，滿足基線要求，無(wú)需加固，否則建議執(zhí)行加固方法。修改建議加固方法通過(guò)如下命令開啟ssh服務(wù)：[root@localhost~]#systemctlenablesshd.service[root@localhost~]#systemctlenablesshd.service[root@localhost~]#systemctlstartsshd.service還原方法通過(guò)如下命令關(guān)閉ssh服務(wù)：[root@localhost~]#systemctldisablesshd.service[root@localhost~]#systemctldisablesshd.service[root@localhost~]#systemctlstopsshd.service修改影響sshd.serviceSecureShellSSH)服務(wù)，允許其他用戶或管理員通過(guò)網(wǎng)絡(luò)使用加密的連接方式登錄到這臺(tái)服務(wù)器。這意味著你可以在本地主SSH客戶端軟件（PuTTY、OpenSSH等）遠(yuǎn)程執(zhí)行命令、傳輸文件以及進(jìn)行各種管理操作。系統(tǒng)會(huì)運(yùn)行sshd守護(hù)進(jìn)程，它將持續(xù)監(jiān)聽指定的端口（默認(rèn)為22），等待并處理來(lái)自客戶端的連接請(qǐng)求。這將占用一定的系統(tǒng)資源，包括CPU、內(nèi)存和網(wǎng)絡(luò)帶寬，尤其是在高并發(fā)連接場(chǎng)景下。禁止遠(yuǎn)程登錄telnet級(jí)別要求適用版本中標(biāo)麒麟高級(jí)服務(wù)器操作系統(tǒng)V7銀河麒麟高級(jí)服務(wù)器操作系統(tǒng)V10銀河麒麟高級(jí)服務(wù)器操作系統(tǒng)V10SPX說(shuō)明禁用telnet服務(wù)通常是為了增強(qiáng)系統(tǒng)的安全性，因?yàn)閠elnet協(xié)議以明文方式傳輸用戶名和密碼，存在較大的安全風(fēng)險(xiǎn)。檢查方法通過(guò)如下命令驗(yàn)證telnet服務(wù)是否已關(guān)閉：[root@localhost~]#systemctlis-enabledtelnet.socketdisabled[root@localhost~]#systemctlis-enabledtelnet.socketdisabled[root@localhost~]#systemctlis-active telnet.socketin-active結(jié)果為diable代表禁止服務(wù)自啟動(dòng)；結(jié)果為inactive、unknow代表服務(wù)處于非活躍的狀態(tài)，滿足基線要求，無(wú)需加固，否則建議執(zhí)行加固方法修改建議加固方法通過(guò)如下命令關(guān)閉telnet服務(wù)：[root@localhost~]#systemctldisabletelnet.socket[root@localhost~]#systemctldisabletelnet.socket[root@localhost~]#systemctlstoptelnet.socket還原方法通過(guò)如下命令開啟telnet服務(wù)：[root@localhost~]#systemctlenabletelnet.socket[root@localhost~]#systemctlenabletelnet.socket[root@localhost~]#systemctlstarttelnet.socket修改影響關(guān)閉Telnet服務(wù)器以阻止遠(yuǎn)程連接到此計(jì)算機(jī)的Telnet服務(wù)。禁用不必要的xinetd服務(wù)級(jí)別建議適用版本中標(biāo)麒麟高級(jí)服務(wù)器操作系統(tǒng)V7銀河麒麟高級(jí)服務(wù)器操作系統(tǒng)V10銀河麒麟高級(jí)服務(wù)器操作系統(tǒng)V10SPX說(shuō)明禁用不必要的xinetd服務(wù)：chargen-dgram、chargen-stream、daytime-stream、daytime-dgram、eklogin、echo-stream、echo-dgram、tcpmux-server、discard-dgram、discard-stream、klogin、krb5-telnet、ekrb5-telnet、cvs、kshell、time-dgram、time-stream、lpd、gssftp。上述不必要的xinetd服務(wù)存在安全漏洞有被Dos攻擊的風(fēng)險(xiǎn)，建議關(guān)閉。檢查方法通過(guò)如下命令驗(yàn)證不必要的服務(wù)是否已關(guān)閉：關(guān)關(guān)time-stream:關(guān)time-dgram:關(guān)tcpmux-server:關(guān)echo-stream:關(guān)echo-dgram:關(guān)discard-stream:關(guān)discard-dgram:關(guān)daytime-stream:關(guān)daytime-dgram:關(guān)cvs:關(guān)chargen-stream:關(guān)chargen-dgram:[root@localhost~]#chkconfig--list運(yùn)行結(jié)果（以部分xinetd的服務(wù)為例）：加固方法。加固方法通過(guò)如下命令禁用chargen-dgram、chargen-stream、daytime-dgram、daytime-stream、eklogin、echo-dgram、echo-stream、tcpmux-server、discard-dgram、discard-stream、klogin、krb5-telnet、ekrb5-telnet、cvs、kshell、time-dgram、time-stream、lpd、gssftp服務(wù)：[root@localhost[root@localhost~]#chkconfig<服務(wù)名> off還原方法通過(guò)如下命令將加固時(shí)設(shè)置為off的服務(wù)啟用：[root@localhost[root@localhost~]#chkconfig<服務(wù)名> on修改影響加固后無(wú)法使用所示的服務(wù)：chargen-dgram、chargen-stream、daytime-dgram、daytime-stream、eklogin、echo-dgram、echo-stream、tcpmux-server、discard-dgram、discard-stream、klogin、krb5-telnet、ekrb5-telnet、cvs、kshell、time-dgram、time-stream、lpd、gssftp。禁用服務(wù)的功能說(shuō)明表服務(wù)功能chargen-dgram產(chǎn)生隨機(jī)字符序列的網(wǎng)絡(luò)服務(wù)。chargen-stream連續(xù)發(fā)送生成的隨機(jī)字符序列的網(wǎng)絡(luò)服務(wù)。daytime-dgram返回當(dāng)前日期時(shí)間的服務(wù)，使用UDP協(xié)議。daytime-stream返回當(dāng)前日期時(shí)間的服務(wù)，使用TCP協(xié)議。eklogineklogin服務(wù)通常是指在AIX系統(tǒng)（IBM的Unix操作系統(tǒng)）中的一個(gè)組件，它是AIXEnhancedKerberos登錄(EKA)功能的一部分。EKA提供了基于Kerberosv5協(xié)議的身份驗(yàn)證和安全遠(yuǎn)程登錄功能。echo-dgram回顯客戶端發(fā)來(lái)的消息的服務(wù)，使用UDP協(xié)議。echo-stream回顯客戶端發(fā)來(lái)的消息的服務(wù)，使用TCP協(xié)議。tcpmux-serverTCP服務(wù)多路復(fù)用器，為多個(gè)不同的服務(wù)提供統(tǒng)一端口號(hào)。discard-dgram丟棄接收到的數(shù)據(jù)包的服務(wù)，使用UDP協(xié)議。服務(wù)功能discard-stream丟棄接收到的數(shù)據(jù)包的服務(wù)，使用TCP協(xié)議。klogin遠(yuǎn)程登錄KerberosV5安全shell。krb5-telnet支持KerberosV5的Telnet協(xié)議。ekrb5-telnet加密的KerberosV5Telnet協(xié)議，旨在提供更安全的數(shù)據(jù)傳輸。cvsCVS(ConcurrentVersionsSystem)有一些潛在的風(fēng)險(xiǎn)，比如容易遭受拒絕服務(wù)攻擊和非授權(quán)訪問(wèn)等問(wèn)題kshellkshell服務(wù)是指KShell守護(hù)進(jìn)程。time-dgram返回當(dāng)前日期時(shí)間的服務(wù)，使用UDP協(xié)議。time-stream返回當(dāng)前日期時(shí)間的服務(wù)，使用TCP協(xié)議。lpd一種網(wǎng)絡(luò)打印協(xié)議。gssftp基于KerberosV5的FTP協(xié)議，支持文件傳輸。關(guān)閉系統(tǒng)不必要的端口級(jí)別建議適用版本中標(biāo)麒麟高級(jí)服務(wù)器操作系統(tǒng)V7銀河麒麟高級(jí)服務(wù)器操作系統(tǒng)V10銀河麒麟高級(jí)服務(wù)器操作系統(tǒng)V10SPX說(shuō)明關(guān)閉高危端口。以22端口為例。檢查方法通過(guò)如下命令檢查所有端口是否已關(guān)閉TCP傳輸:[root@localhost~]#firewall-cmd--query-port=22/tcp[root@localhost~]#firewall-cmd--query-port=22/tcpno通過(guò)如下命令檢查所有端口是否已關(guān)閉UDP傳輸:[root@localhost~]#firewall-cmd--query-port=22/udp[root@localhost~]#firewall-cmd--query-port=22/udpno通過(guò)如下命令檢查所有端口是否已關(guān)閉SCTP傳輸:[root@localhost~]#firewall-cmd--query-port=22/sctp[root@localhost~]#firewall-cmd--query-port=22/sctpnono行加固方法加固方法通過(guò)如下命令禁止端口TCP傳輸:[root@localhost~]#firewall-cmd--remove-port=22/tcp[root@localhost~]#firewall-cmd--remove-port=22/tcpsuccess通過(guò)如下命令禁止端口UDP傳輸：[root@localhost~]#firewall-cmd--remove-port=22/udp[root@localhost~]#firewall-cmd--remove-port=22/udpsuccess通過(guò)如下命令禁止端口SCTP傳輸：[root@localhost~]#firewall-cmd--remove-port=22/sctp[root@localhost~]#firewall-cmd--remove-port=22/sctpsuccesssuccess通過(guò)如下命令重新加載設(shè)置：[root@localhost~]#firewall-cmd--runtime-to-permanent[root@localhost~]#firewall-cmd--runtime-to-permanentsuccess還原方法通過(guò)如下命令恢復(fù)端口可以進(jìn)行TCP傳輸:[root@localhost~]#firewall-cmd--add-port=22/tcp[root@localhost~]#firewall-cmd--add-port=22/tcpsuccess通過(guò)如下命令恢復(fù)端口可以進(jìn)行UDP傳輸：[root@localhost~]#firewall-cmd--add-port=22/udp[root@localhost~]#firewall-cmd--add-port=22/udpsuccess通過(guò)如下命令恢復(fù)端口可以進(jìn)行SCTP傳輸：[root@localhost~]#firewall-cmd--add-port=22/sctp[root@localhost~]#firewall-cmd--add-port=22/sctpsuccess通過(guò)如下命令重新加載設(shè)置：[root@localhost~]#firewall-cmd--runtime-to-permanent[root@localhost~]#firewall-cmd--runtime-to-permanentsuccess適用版本銀河麒麟高級(jí)服務(wù)器操作系統(tǒng)V4說(shuō)明關(guān)閉高危端口。以22端口為例。檢查方法通過(guò)如下命令檢查端口是否已設(shè)置關(guān)閉規(guī)則,若未設(shè)置則需加固：kylin@Kylin:~$sudoufwstatusverbose|grep22kylin@Kylin:~$sudoufwstatusverbose|grep22修改方法加固方法通過(guò)如下命令禁止端口:kylin@Kylin:~$sudoufwdeny22kylin@Kylin:~$sudoufwdeny22還原方法通過(guò)如下命令禁止端口:kylin@Kylin:~$sudoufwallow22kylin@Kylin:~$sudoufwallow22修改影響將從防火墻規(guī)則中刪除對(duì)高危端口的訪問(wèn)權(quán)限。限制ssh服務(wù)可訪問(wèn)源級(jí)別建議適用版本銀河麒麟高級(jí)服務(wù)器操作系統(tǒng)V4中標(biāo)麒麟高級(jí)服務(wù)器操作系統(tǒng)V7銀河麒麟高級(jí)服務(wù)器操作系統(tǒng)V10銀河麒麟桌面操作系統(tǒng)V10SP1說(shuō)明通過(guò)/etc/hosts.allow和/etc/hosts.denyssh訪問(wèn)源的限制通，可以使SSH服務(wù)只能從指定的IP網(wǎng)段為例。檢查方法通過(guò)如下命令檢查文件/etc/hosts.allow中是否已配置允許/24網(wǎng)段訪問(wèn)：[root@localhost[root@localhost~]#cat/etc/hosts.allow|grep"192.168.201.*"sshd:192.168.201.*:allow通過(guò)如下命令檢查文件/etc/hosts.deny中內(nèi)容是否已配置禁止所有網(wǎng)段訪問(wèn)：[root@localhost~]#grep[root@localhost~]#grep'sshd'/etc/hosts.deny sshd:ALL將目標(biāo)網(wǎng)段按格式加入/etc/hosts.allow；/etc/hosts.deny里禁止所有網(wǎng)段，滿足基線要求，無(wú)需加固，否則建議執(zhí)行加固方法修改建議加固方法sshd:192.168.201.*:allow如果文件不存在先創(chuàng)建該文件再編輯，如果文件存在直接編輯/etc/hosts.allow文件添加允許訪問(wèn)的網(wǎng)段：sshd:192.168.201.*:allow/etc/hosts.deny文件添加如下內(nèi)容：sshd:ALLsshd:ALL然后重啟ssh服務(wù)：[root@localhost~]#systemctlrestartsshd[root@localhost~]#systemctlrestartsshd還原方法sshd:192.168.201.*:allow如果文件默認(rèn)不存在刪除該文件，如果文件默認(rèn)存在編輯/etc/hosts.allow文件刪除加固時(shí)添加的內(nèi)容：sshd:192.168.201.*:allowsshd:ALL如果文件默認(rèn)不存在刪除該文件，如果文件默認(rèn)存在編輯/etc/hosts.deny刪除加固時(shí)添加的內(nèi)容：sshd:ALLssh服務(wù)：[root@localhost~]#systemctlrestartsshd[root@localhost~]#systemctlrestartsshd適用版本銀河麒麟高級(jí)服務(wù)器操作系統(tǒng)V10SPX說(shuō)明通過(guò)pam.d模塊實(shí)現(xiàn)對(duì)ssh訪問(wèn)源的限制通，可以使SSH服務(wù)只能從指定的IP網(wǎng)段為例。檢查方法通過(guò)如下命令檢測(cè)ssh服務(wù)是否已啟用pam.d模塊：[root@localhost[root@localhost~]#cat/etc/pam.d/sshd|grepaccount|greprequired|greppam_access.soaccountrequiredpam_access.so通過(guò)如下命令檢查文件/etc/security/access.conf中是否已配置允許/24網(wǎng)段訪問(wèn)：[root@localhost[root@localhost~]#cat/etc/security/access.conf|grep+|grepALL|grep"/24"+:ALL:/24通過(guò)如下命令檢查文件/etc/security/access.conf中內(nèi)容是否已配置禁止所有網(wǎng)段訪問(wèn)：[root@localhost~]#grep':\bALL:ALL\b'/etc/security/access.conf[root@localhost~]#grep':\bALL:ALL\b'/etc/security/access.conf-:ALL:ALL檢查/etc/security/access.conf文件中-:ALL:ALL所在行要在所有+:ALL:ip段/24所在行的后面。啟用pam模塊，將目標(biāo)網(wǎng)段按上述格式加入/etc/security/access.conf；將禁止所有網(wǎng)段按上述格式加入/etc/security/access.conf，滿足基線要求，無(wú)需加固，否則建議執(zhí)行加固方法。修改建議加固方法編輯/etc/pam.d/sshd文件添加如下內(nèi)容：accountrequiredpam_access.soaccountrequiredpam_access.so編輯/etc/security/access.conf文件添加內(nèi)容，-:ALL:ALL要在所有+:ALL:ip段/24行之后：+:ALL:/24+:ALL:/24-:ALL:-ALL還原方法編輯/etc/pam.d/sshd文件刪除加固時(shí)添加的內(nèi)容：accountrequiredpam_access.soaccountrequiredpam_access.so編輯/etc/security/access.conf文件刪除加固時(shí)添加的內(nèi)容：+:ALL:/24+:ALL:/24-:ALL:-ALL修改影響限制SSHip高了系統(tǒng)安全性。設(shè)置登錄后系統(tǒng)提示信息級(jí)別要求適用版本V4V7銀河麒麟高級(jí)服務(wù)器操作系統(tǒng)V10SPX銀河麒麟桌面操作系統(tǒng)V10SP1說(shuō)明檢查系統(tǒng)openssh安全配置，用戶成功登錄時(shí)顯示上次登錄的信息。檢查方法通過(guò)如下命令驗(yàn)證是否設(shè)置登錄后系統(tǒng)提示信息：[root@localhost~]#grep"^PrintLastLog"/etc/ssh/sshd_config[root@localhost~]#grep"^PrintLastLog"/etc/ssh/sshd_configPrintLastLogyes結(jié)果為PrintLastLogyes或不存在該參數(shù)均滿足基線要求，無(wú)需加固，否則建議執(zhí)行加固方法。修改建議加固方法編輯/etc/ssh/sshd_config文件，如果存在未注釋的PrintLastLog參數(shù)，在行首添加"#"進(jìn)行注釋，在注釋行之后添加以下內(nèi)容，如果不存在參數(shù)在文件末添加以下內(nèi)容：PrintLastLogyesPrintLastLogyes然后重啟ssh服務(wù)：[root@localhost~]#systemctlrestartsshd[root@localhost~]#systemctlrestartsshd還原方法把加固時(shí)新增的行全部刪除，如果默認(rèn)存在未注釋PrintLastLog的再去掉查找到的"#"，重啟ssh服務(wù)：[root@localhost~]#systemctlrestartsshd[root@localhost~]#systemctlrestartsshd修改影響當(dāng)用戶登錄時(shí)，ssh服務(wù)器會(huì)顯示他們的上一次登錄時(shí)間和IP地址。內(nèi)核參數(shù)icmp重定向報(bào)文級(jí)別要求適用版本V4V7銀河麒麟高級(jí)服務(wù)器操作系統(tǒng)V10SPX銀河麒麟桌面操作系統(tǒng)V10SP1說(shuō)明ICMP重定向消息是傳遞路由信息并告訴系統(tǒng)通過(guò)備用路徑發(fā)送數(shù)據(jù)包。這是一種允許外部路由設(shè)備更新系統(tǒng)路由表的方法。通過(guò)將net.ipv4.conf.all.accept_redirectsnet.ipv6.conf.all.accept_redirects設(shè)置為0ICMP重定向報(bào)文。通過(guò)將net.ipv4.conf.all.secure_redirects和net.ipv4.conf.default.send_redirects設(shè)0ICMP重定向報(bào)文（IPv6無(wú)此配置項(xiàng)）。檢查方法通過(guò)如下命令驗(yàn)證是否禁止icmp重定向：[root@localhost~]#sysctlnet.ipv4.conf.all.accept_redirectsnet.ipv4.conf.all.accept_redirects=0[root@localhost~]#sysctlnet.ipv4.conf.all.accept_redirectsnet.ipv4.conf.all.accept_redirects=0[root@localhost~]#sysctlnet.ipv4.conf.default.accept_redirectsnet.ipv4.conf.default.accept_redirects=0[root@localhost~]#grep"^net.ipv4.conf.all.accept_redirects"/etc/sysctl.confnet.ipv4.conf.all.accept_redirects=0[root@localhost~]#grep"^net.ipv4.conf.default.accept_redirects"/etc/sysctl.confnet.ipv4.conf.default.accept_redirects=0結(jié)果命令和文件存在net.ipv4.conf.all.accept_redirects=0、net.ipv4.conf.default.accept_redirects=0，滿足基線要求，無(wú)需加固，否則建議執(zhí)行加固方法。修改建議加固方法net.ipv4.conf.all.accept_redirects=0net.ipv4.conf.default.accept_redirects=0編輯/etc/sysctl.conf文件，如果查到關(guān)鍵行，在行首添加"#"net.ipv4.conf.all.accept_redirects=0net.ipv4.conf.default.accept_redirects=0通過(guò)如下命令載入sysctl配置文件，并設(shè)置活動(dòng)內(nèi)核參數(shù)：[root@localhost~]#sysctl-p[root@localhost~]#sysctl-p還原方法編輯/etc/sysctl.conf文件把加固時(shí)新增的行刪除，恢復(fù)文件默認(rèn)內(nèi)容，通過(guò)如下命令以載入sysctl配置文件，并設(shè)置活動(dòng)內(nèi)核參數(shù)：[root@localhost~]#sysctl-p[root@localhost~]#sysctl-p修改影響關(guān)閉accept_redirects參數(shù)后，內(nèi)核將不再接收ICMP重定向報(bào)文，可能導(dǎo)致網(wǎng)絡(luò)性能降低或延遲增加，也可能導(dǎo)致一些路由變更無(wú)法得到及時(shí)處理。send_redirects級(jí)別要求適用版本V4V7銀河麒麟高級(jí)服務(wù)器操作系統(tǒng)V10SPX銀河麒麟桌面操作系統(tǒng)V10SP1說(shuō)明檢查系統(tǒng)內(nèi)核參數(shù)配置，檢查send_redirects配置。send_redirects是Linux系統(tǒng)中的一個(gè)配置選項(xiàng)，用于控制網(wǎng)絡(luò)棧是否允許發(fā)送重定向包。當(dāng)send_redirects設(shè)置為1時(shí)，系統(tǒng)允許發(fā)送重定向包；當(dāng)設(shè)置為0時(shí)，系統(tǒng)禁止發(fā)送重定向包。重定向包是一種網(wǎng)絡(luò)協(xié)議包，用于將數(shù)據(jù)包從源主機(jī)重定向到目標(biāo)主機(jī)。在某些情況下，源主機(jī)和目標(biāo)主機(jī)之間的路由可能發(fā)生變化，導(dǎo)致數(shù)據(jù)包無(wú)法到達(dá)目標(biāo)主機(jī)。此時(shí)，路由器可能會(huì)發(fā)送一個(gè)重定向包給源主機(jī)，指示它將數(shù)據(jù)包發(fā)送到新的路徑。在某些情況下，發(fā)送重定向包可能會(huì)對(duì)網(wǎng)絡(luò)安全造成風(fēng)險(xiǎn)。檢查方法通過(guò)如下命令驗(yàn)證是否禁止send_redirects發(fā)送定向：[root@localhost~]#sysctlnet.ipv4.conf.all.send_redirectsnet.ipv4.conf.all.send_redirects=0[root@localhost~]#sysctlnet.ipv4.conf.all.send_redirectsnet.ipv4.conf.all.send_redirects=0[root@localhost~]#sysctlnet.ipv4.conf.default.send_redirectsnet.ipv4.conf.default.send_redirects=0[root@localhost~]#grep"^net.ipv4.conf.all.send_redirects"/etc/sysctl.confnet.ipv4.conf.all.send_redirects=0[root@localhost~]#grep"^net.ipv4.conf.default.send_redirects"/etc/sysctl.confnet.ipv4.conf.default.send_redirects=0結(jié)果命令和文件存在net.ipv4.conf.all.send_redirects=0、net.ipv4.conf.default.send_redirects=0，滿足基線要求，無(wú)需加固，否則建議執(zhí)行加固方法。修改建議加固方法net.ipv4.conf.all.send_redirects=0net.ipv4.conf.default.send_redirects=0編輯/etc/sysctl.conf文件，如果查到關(guān)鍵行，在行首添加"#"net.ipv4.conf.all.send_redirects=0net.ipv4.c