在CentOS系统上对GitLab进行安全加固是一个重要的步骤,以确保系统的稳定性和数据的安全性。以下是一些关键的安全加固措施:
/etc/login.defs 中设置 PASS_MAX_DAYS 不小于标准值900。/etc/login.defs 中设置 PASS_MIN_DAYS 不小于标准值20。/etc/login.defs 中设置 PASS_MIN_LEN 不小于标准值8。/etc/login.defs 中设置 PASS_WARN_AGE 不小于标准值7。chage root -M 90 命令。/etc/pam.d/system-auth 文件,添加 password requisite pam_pwquality.so retry=5 minlen=8 dcredit=-1 ucredit=-1 lcredit=-1 ocredit=-1。/etc/pam.d/sshd 和 /etc/pam.d/system-auth 文件中添加 auth required pam_tally2.so deny=5 unlock_time=300 even_deny_root root_unlock_time=60。getenforce 命令查看SELinux是否开启。/etc/selinux/config 文件,将 SELINUX 值修改为 enforcing 或 permissive(建议改成 permissive 模式,只记录不进行拦截)。reboot 命令重启机器使修改生效。/etc/cron.allow 和 /etc/at.allow:是否存在非root用户,如无此文件请创建,并进行用户限制。firewall-cmd --zone=public --add-port=<端口号>/tcp --permanent 命令,并重新加载防火墙配置。/etc/ssh/sshd_config 文件,将 PermitRootLogin 设置为 no,然后重启SSH服务。/etc/ssh/sshd_config 文件中添加 DenyUsers <用户名>,然后重启SSH服务。请注意,以上信息仅供参考,具体配置可能需要根据您的实际环境和需求进行调整。在进行任何配置更改之前,请务必备份相关文件,并在测试环境中进行充分测试。