# 檢查項:系統(tǒng)crontab權限設置
rm -f /etc/cron.deny 
rm -f /etc/at.deny 
touch /etc/cron.allow touch /etc/at.allow 
chmod 0600 /etc/cron.allow 
chmod 0600 /etc/at.allow

# 檢查項:禁止轉發(fā)ICMP重定向報文
sysctl -w net.ipv4.conf.all.send_redirects=0
# 再查看/etc/sysctl.conf中是否存在net.ipv4.conf.all.send_redirects=0同云，不存在則添加

# 檢查項:禁止轉發(fā)ICMP重定向報文
sysctl -w net.ipv4.conf.default.send_redirects=0
# 再查看/etc/sysctl.conf中是否存在net.ipv4.conf.default.send_redirects=0，不存在則添加

# 檢查項:禁止包含源路由的ip包
sysctl -w net.ipv4.conf.all.accept_redirects=0
# 再查看/etc/sysctl.conf中是否存在net.ipv4.conf.all.accept_redirects=0饼灿，不存在則添加

# 檢查項:禁止包含源路由的ip包 
sysctl -w net.ipv4.conf.default.accept_redirects=0
# 再查看/etc/sysctl.conf中是否存在net.ipv4.conf.default.accept_redirects=0额嘿，不存在則添加

# 檢查項:禁止轉發(fā)安全ICMP重定向報文
sysctl -w net.ipv4.conf.all.secure_redirects=0
# 再查看/etc/sysctl.conf中是否存在net.ipv4.conf.all.secure_redirects=0，不存在則添加

# 檢查項:禁止轉發(fā)安全ICMP重定向報文 
sysctl -w net.ipv4.conf.default.secure_redirects=0
# 再查看/etc/sysctl.conf中是否存在net.ipv4.conf.default.secure_redirects=0婴梧，不存在則添加

# 檢查項:啟用反轉地址路徑過濾 
sysctl -w net.ipv4.conf.all.rp_filter=1
# 再查看/etc/sysctl.conf中是否存在net.ipv4.conf.all.rp_filter=1吁恍，不存在則添加

# 檢查項:啟用反轉地址路徑過濾 
sysctl -w net.ipv4.conf.default.rp_filter=1
# 再查看/etc/sysctl.conf中是否存在net.ipv4.conf.default.rp_filter=1胰舆，不存在則添加

# 檢查項:禁止ipv6路由廣播 
sysctl -w net.ipv6.conf.all.accept_ra=0
# 再查看/etc/sysctl.conf中是否存在net.ipv6.conf.all.accept_ra=0，不存在則添加

# 檢查項:禁止ipv6路由廣播 
sysctl -w net.ipv6.conf.default.accept_ra=0
# 再查看/etc/sysctl.conf中是否存在net.ipv6.conf.default.accept_ra=0蕴掏，不存在則添加

# 檢查項:禁止ipv6路由重定向 
sysctl -w net.ipv6.conf.all.accept_redirects=0
# 再查看/etc/sysctl.conf中是否存在net.ipv6.conf.all.accept_redirects=0障般，不存在則添加

# 檢查項:禁止ipv6路由重定向 
sysctl -w net.ipv6.conf.default.accept_redirects=0
# 再查看/etc/sysctl.conf中是否存在net.ipv6.conf.default.accept_redirects=0，不存在則添加

# 檢查項:SSHD強制使用V2安全協(xié)議 
# 在/etc/ssh/sshd_config中取消Protocol注釋符號#
# 檢查項:SSHD僅記錄ssh用戶登錄活動 
# 在/etc/ssh/sshd_config中取消LogLevel INFO注釋符號#
# 檢查項:SSHD僅記錄ssh用戶登錄活動 
# 在/etc/ssh/sshd_config中取消MaxAuthTries注釋符號#盛杰，設置自定義最大密碼嘗試失敗次數
# 檢查項:清理主機遠程登錄歷史主機記錄 
# 在/etc/ssh/sshd_config中取消IgnoreRhosts yes注釋符號#

# 檢查項:禁止主機認證登錄 
在/etc/ssh/sshd_config中取消HostbasedAuthentication no注釋符號

#檢查項:禁止root直接登錄 
#在/etc/ssh/sshd_config中PermitRootLogin 值設置為no

#檢查項:禁止空密碼用戶登錄 
#在/etc/ssh/sshd_config中取消PermitEmptyPasswords no注釋符號#

#檢查項:禁止用戶修改環(huán)境變量 
#在/etc/ssh/sshd_config中取消PermitUserEnvironment no注釋符號

#檢查項:設置輸入密碼間隔時間 
#在/etc/ssh/sshd_config中取消LoginGraceTime前注釋符挽荡，同時設置輸入密碼時間間隔秒數

#檢查項:設置用戶密碼最小長度 
#在/etc/security/pwquality.conf中取消minlen注釋符號#，同時設置最小密碼長度建議10位以上

#檢查項:設置用戶密碼數字位數 
#在/etc/security/pwquality.conf中取消dcredit注釋符號#即供，同時設置為負數建議-1最少包含1位數字

#檢查項:設置用戶密碼大寫字母位數 
#在/etc/security/pwquality.conf中取消ucredit注釋符號#定拟，同時設置為負數建議-1最少包含1位大寫字母

#檢查項:設置用戶密碼小寫字母位數 
#在/etc/security/pwquality.conf中取消lcredit注釋符號#，同時設置為負數建議-1最少包含1位小寫字母

#檢查項:設置用戶密碼特殊字符位數 
#在/etc/security/pwquality.conf中取消ocredit注釋符號#逗嫡，同時設置為負數建議-1最少包含1位特殊字符

#檢查項:密碼授權新密碼與老密碼不能重復 
#在/etc/pam.d/password-auth中添加：password sufficient pam_unix.so remember=3,remember的值表示此次設置密碼與過去3次不同

#檢查項:系統(tǒng)授權新密碼與老密碼不能重復 
#在/etc/pam.d/system-auth中添加：password sufficient pam_unix.so remember=3,remember的值表示此次設置密碼與過去3次不同

#檢查項:rsyslog日志文件權限配置 
#在/etc/rsyslog.conf中添加：
#$FileCreateMode 0640

#檢查項:強制密碼失效時間 
#在/etc/login.defs 設置強制密碼失效時間青自，建議值365

#檢查項:密碼修改最小間隔時間 
#在/etc/login.defs 設置密碼修改最小間隔時間，建議值7

#檢查項:設置有密碼賬戶不活動最大時間
useradd -D -f 90 #建議值90

#檢查項:檢查/boot/grub2/grub.cfg文件ACL屬性 
chmod 0600 /boot/grub2/grub.cfg

#檢查項:檢查/etc/crontab文件ACL屬性 
chmod 0600 /etc/crontab

#檢查項:檢查/etc/cron.hourly文件ACL屬性 
chmod 0600 /etc/cron.hourly

#檢查項:檢查/etc/cron.daily文件ACL屬性 
chmod 0600 /etc/cron.daily

#檢查項:檢查/etc/cron.weekly 文件ACL屬性 
chmod 0600 /etc/cron.weekly

#檢查項:檢查/etc/cron.monthly 文件ACL屬性 
chmod 0600 /etc/cron.monthly

#檢查項:檢查/etc/cron.d 文件ACL屬性 
chmod 0600 /etc/cron.d