限制容器之间的网络流量 描述 默认情况下,同一主机上的容器之间允许所有网络通信。 如果不需要,请限制所有容器间的通信。 将需要相互通信的特定容器链接在一起。默认情况下,同一主机上所有容器之间都启用了不受限制的网络流量。 因此,每个容器都有可能读取同一主机上整个容器网络上的所有数据包。 这可能会导致意外和不必要的信息泄露给其他容器。 因此,限制容器间的通信。 检查提示 — 加固建议 在守护程序模式下运行docker并传递’–icc = false’作为参数。 例如, /usr/bin/dockerd –icc=false 若使用systemctl管理docker服务则需要编辑 /usr/lib/systemd/system/docker.service 文件中的ExecStart参数添加 –icc=false选项 然后重启docker服务 systemctl daemon-reload systemctl restart docker 操作时建议做好记录或备份
限制容器之间的网络流量 描述 默认情况下,同一主机上的容器之间允许所有网络通信。 如果不需要,请限制所有容器间的通信。 将需要相互通信的特定容器链接在一起。默认情况下,同一主机上所有容器之间都启用了不受限制的网络流量。 因此,每个容器都有可能读取同一主机上整个容器网络上的所有数据包。 这可能会导致意外和不必要的信息泄露给其他容器。 因此,限制容器间的通信。 检查提示 — 加固建议 在守护程序模式下运行docker并传递’–icc = false’作为参数。 例如, /usr/bin/dockerd –icc=false 若使用systemctl管理docker服务则需要编辑 /usr/lib/systemd/system/docker.service 文件中的ExecStart参数添加 –icc=false选项 然后重启docker服务 systemctl daemon-reload systemctl restart docker 操作时建议做好记录或备份
PoC PoC 提权漏洞绕过 安骑士检测方法: PoC原理检测系统安装的pkexec是否存在漏洞,且具备SUID-bit权限。 修复建议 1、无法升级软件修复包的,可使用以下命令删除pkexec的SUID-bit权限来规避漏洞风险: chmod 0755 /usr/bin/pkexec 示例: # ll /usr/bin/pkexec -rwsr-xr-x 1 root root /usr/bin/pkexec # chmod 0755 /usr/bin/pkexec # ll /usr/bin/pkexec -rwxr-xr-x 1 root root /usr/bin/pkexec 执行前权限一般为-rwsr-xr-x ,删除SUID-bit权限后一般为-rwxr-xr-x2、CentOS 7的用户可通过yum update polkit升级修复(云安全中心Linux软件漏洞已支持检测修复),Centos 5、6、8官方已终止生命周期 (EOL)维护,建议停止使用; 3、RedHat用户建议联系红帽官方获取安全修复源后执行yum update polkit升级修复(云安全中心Linux软件漏洞已支持检测修复); 4、Alibaba Cloud Linux的用户可通过yum update polkit升级修复(云安全中心Linux软件漏洞已支持检测修复); 5、Anolis OS(龙蜥)的用户可通过yum update polkit升级修复(云安全中心Linux软件漏洞已支持检测修复); 6、Ubuntu 18.04 LTS、Ubuntu 20.04 LTS的用户可通过apt update policykit-1升级修复,Ubuntu 14.04、16.04、12.04官方已终止生命周期 (EOL)维护,修复需要额外付费购买Ubuntu ESM(扩展安全维护)服务,建议停止使用; 7、其他Linux发行版操作系统OS建议联系官方寻求软件包修复源。
设置密码失效时间身份鉴别 描述 设置密码失效时间,强制定期修改密码,减少密码被泄漏和猜测风险,使用非密码登陆方式(如密钥对)请忽略此项。 检查提示 — 加固建议 使用非密码登陆方式如密钥对,请忽略此项。在 /etc/login.defs 中将 PASS_MAX_DAYS 参数设置为 60-180之间,如: PASS_MAX_DAYS 90 需同时执行命令设置root密码失效时间: chage –maxdays 90 root 操作时建议做好记录或备份
设置密码修改最小间隔时间身份鉴别 描述 设置密码修改最小间隔时间,限制密码更改过于频繁 检查提示 — 加固建议 在 /etc/login.defs 中将 PASS_MIN_DAYS 参数设置为7-14之间,建议为7: PASS_MIN_DAYS 7 需同时执行命令为root用户设置: chage –mindays 7 root 操作时建议做好记录或备份
设置SSH空闲超时退出时间服务配置 描述 设置SSH空闲超时退出时间,可降低未授权用户访问其他用户ssh会话的风险 检查提示 — 加固建议 编辑/etc/ssh/sshd_config,将ClientAliveInterval 设置为300到900,即5-15分钟,将ClientAliveCountMax设置为0-3之间。 ClientAliveInterval 600 ClientAliveCountMax 2 操作时建议做好记录或备份
禁止SSH空密码用户登录 SSH服务配置 描述 禁止SSH空密码用户登录 检查提示 — 加固建议 编辑文件/etc/ssh/sshd_config,将PermitEmptyPasswords配置为no: PermitEmptyPasswords no 操作时建议做好记录或备份
确保密码到期警告天数为7或更多身份鉴别 描述 确保密码到期警告天数为7或更多 检查提示 — 加固建议 在 /etc/login.defs 中将 PASS_WARN_AGE 参数设置为7-14之间,建议为7: PASS_WARN_AGE 7 同时执行命令使root用户设置生效: chage –warndays 7 root 操作时建议做好记录或备份
检查密码重用是否受限制身份鉴别 描述 强制用户不重用最近使用的密码,降低密码猜测攻击风险 检查提示 — 加固建议 在/etc/pam.d/password-auth和/etc/pam.d/system-auth中password sufficient pam_unix.so 这行的末尾配置remember参数为5-24之间,原来的内容不用更改,只在末尾加了remember=5。 操作时建议做好记录或备份.
密码复杂度检查身份鉴别 描述 检查密码长度和密码是否使用多种字符类型 检查提示 — 加固建议 编辑/etc/security/pwquality.conf,把minlen(密码最小长度)设置为8-32位,把minclass(至少包含小写字母、大写字母、数字、特殊字符等4类字符中等3类或4类)设置为3或4。如: minlen=10 minclass=3