2025年软件行业安全部安全工程师安全加固配置手册.docxVIP

2025年软件行业安全部安全工程师安全加固配置手册

第1章

1.1系统基础加固与权限管理

在启动操作系统内核之前，必须首先执行“最小化内核加载”策略，通过修改`/etc/modules`文件，仅加载`initrd`和`initramfs`模块，禁用`kmod`内核加载器模块，从而从根源上防止未授权模块加载带来的系统级漏洞，该操作需确保所有用户以root权限执行。针对文件权限管理，需将`/etc/shadow`文件的权限严格设置为`600`（仅root可读），并强制开启“密码加密”选项，禁止明文存储密码，同时确保`/etc/passwd`文件的权限为`644`，防止外部人员通过非法手段窃取用户密码信息。

针对SSH服务的安全加固，必须将SSH端口默认值从22修改为2222或更高端口，并在`sshd_config`文件中禁用`PermitRootLoginyes`选项，强制要求所有远程登录必须使用密钥对认证，禁止密码登录，并开启`PasswordAuthenticationno`选项。针对磁盘分区与文件系统安全，需将系统主分区`/`的权限设置为`600`，仅允许root用户读写，并启用`noexec`选项禁止在挂载的分区上执行任意shell脚本，防止通过挂载点执行恶意代码。针对日志审计