centos gitlab安全加固

在CentOS系统上对GitLab进行安全加固是一个重要的步骤，以确保系统的稳定性和数据的安全性。以下是一些关键的安全加固措施：

设置口令最长使用天数：在 /etc/login.defs 中设置 PASS_MAX_DAYS 不小于标准值900。
设置口令更改最小间隔天数：在 /etc/login.defs 中设置 PASS_MIN_DAYS 不小于标准值20。
设置口令最小长度：在 /etc/login.defs 中设置 PASS_MIN_LEN 不小于标准值8。
设置口令过期提醒天数：在 /etc/login.defs 中设置 PASS_WARN_AGE 不小于标准值7。
设置root用户密码口令使用天数：使用 chage root -M 90 命令。
设置密码复杂度：编辑 /etc/pam.d/system-auth 文件，添加 password requisite pam_pwquality.so retry=5 minlen=8 dcredit=-1 ucredit=-1 lcredit=-1 ocredit=-1。
设置账户认证失败次数限制：在 /etc/pam.d/sshd 和 /etc/pam.d/system-auth 文件中添加 auth required pam_tally2.so deny=5 unlock_time=300 even_deny_root root_unlock_time=60。

使用 getenforce 命令查看SELinux是否开启。
编辑 /etc/selinux/config 文件，将 SELINUX 值修改为 enforcing 或 permissive（建议改成 permissive 模式，只记录不进行拦截）。
使用 reboot 命令重启机器使修改生效。

检查 /etc/cron.allow 和 /etc/at.allow：是否存在非root用户，如无此文件请创建，并进行用户限制。
修改SSH默认端口：将默认端口22调整为不常用端口，建议使用10000~65536端口之间的随机端口。
在防火墙上开启新增端口：使用 firewall-cmd --zone=public --add-port=<端口号>/tcp --permanent 命令，并重新加载防火墙配置。

禁用root用户远程SSH登陆：修改 /etc/ssh/sshd_config 文件，将 PermitRootLogin 设置为 no，然后重启SSH服务。
禁用普通用户远程SSH登陆：在 /etc/ssh/sshd_config 文件中添加 DenyUsers <用户名>，然后重启SSH服务。

请注意，以上信息仅供参考，具体配置可能需要根据您的实际环境和需求进行调整。在进行任何配置更改之前，请务必备份相关文件，并在测试环境中进行充分测试。

最新问答