master

分支 (1)

管理

管理

master

secscanner
/
secscanner.cfg

[main]

LOGFILE = /var/log/secScanner/secscanner.log
RESULT_FILE = /var/log/secScanner/check_result.relt
PIDFILE = /var/run/secscanner.pid

LOG_LEVEL = debug
LOG_MAXBYTES = 10240
LOG_BACKUPNUM = 30

[basic]
#################################################################################
#
# motd info: set motd banner value
# ---------------
# set_motde=yes|no # yes: use 'Motd' value, no: use bse default value.
#
#################################################################################
set_motd = yes
motd = Authorized users only. All activity may be monitored and reported.

#################################################################################
#
# password remember times: Set password remember times
# ---------------
# set_password_rem=yes|no # yes: use 'password_rem' value, no: use bse default value.
# Bse uses pam_unix.so to record password, but there may be some conflicts with selinux
# when changing password in interactive mode.
# There is no way to make that remember option of pam_unix properly supported with SELinux.
# You can disable SELinux, or use pam_pwhistory instead of adding remember option to pam_unix.
# Reference link: https://bugzilla.redhat.com/show_bug.cgi?id=1412838
#
#################################################################################
set_password_rem = yes
password_rem = 5

#################################################################################
#
# password Complex: Set password Complex
# ---------------
# set_passComplex=yes|no
# minclass/minlen/ucredit/lcredit/lcredit/ocredit  # if you don't know what this mean, do not modify this.
#
#################################################################################
set_passComplex = yes
minclass = 4
minlen = 8
ucredit = -1
lcredit = -1
dcredit = -1
ocredit = -1

#################################################################################
#
# lock user who want to attacking to login.
# ---------------
# lock_attacking_user=yes|no
#
#################################################################################
lock_attacking_user = yes
deny_times = 5
unlock_time = 300


#################################################################################
#
# Disable the icmp redirect
# ---------------
# disable_icmp_redirect=yes|no
#
#################################################################################
disable_icmp_redirect = yes

#################################################################################
#
# set umask
# ---------------
# set_umask=yes|no
#
#################################################################################
set_umask = no
umask_value = 027


#################################################################################
#
# set TMOUT
# ---------------
# set_tmout=yes|no
#
#################################################################################
set_tmout = yes
tmout_value = 180


#################################################################################
#
# set security file property
# ---------------
# set_file_property=yes|no
# changing the property of /etc/security to 600 will affect GNOME system
# the property of /etc/ can't change
#
#################################################################################
set_file_property = yes
chmod_644_file = /etc/passwd /etc/group
chmod_600_file = /etc/grub2.conf /boot/grub2/grub.cfg /etc/lilo.conf
chmod_400_file = /etc/shadow /etc/rsyslog.conf
chmod_751_file = /etc/security
#chmod_700_file = /root
#chmod_750_file = /etc/rc.d/init.d/ /etc/rc0.d/ /etc/rc1.d/ /etc/rc2.d/ /etc/rc3.d/ /etc/rc4.d/ /etc/rc5.d/ /etc/rc6.d/ /tmp
chmod_gwx_file = /var/log/

#################################################################################
#
# set password max days & minlen & min days & warn age in /etc/login.defs
# --------------
# Change here, just let the new user default password configuration parameters
# change, the existing user password configuration remains unchanged.
# The configuration in /etc/login.defs is not valid for the root user.
# If the normal user's password expires and then logs on, a warning message "You
# are required to change your password immediately (password aged)" will be dispalyed.
#
# set password max days
# ---------------
# set_pass_max_days=yes|no
#
#################################################################################
set_pass_max_days = yes
pass_max_days_value = 90

#################################################################################
#
# set password min len in /etc/login.defs
# ---------------
# set_pass_min_len=yes|no
#
#################################################################################
set_pass_min_len = yes
pass_min_len_value = 8

#################################################################################
#
# set password min days in /etc/login.defs
# ---------------
# set_pass_min_days=yes|no
#
#################################################################################
set_pass_min_days = yes
pass_min_days_value = 6

#################################################################################
#
# set password warn age in /etc/login.defs
# ---------------
# set_pass_warn_age=yes|no
#
#################################################################################
set_pass_warn_age = yes
pass_warn_age_value = 30


#################################################################################
#
# set ssh login banner
# ---------------
# set_ssh_login_banner=yes|no
#
#################################################################################
set_ssh_login_banner = yes
ssh_login_banner_value = Authorized users only. All activity may be monitored and reported.

#################################################################################
#
# set ssh cipher
# ---------------
# set_ssh_cipher=yes|no
# ssh_cipher_value, ssh_macs_value
#
# 1. If you don't know what this mean, do not modify this.
# 2. ssh_cipher_value=xxx YYY ZZZ  # split with ' '
# 3. ssh_macs_value=xxx YYY ZZZ  # split with ' '
#
#################################################################################
set_ssh_algorithms = yes
ssh_kexalgorithms_value = KexAlgorithms curve25519-sha256@libssh.org,diffie-hellman-group14-sha1,diffie-hellman-group-exchange-sha256,ecdh-sha2-nistp256,ecdh-sha2-nistp384,ecdh-sha2-nistp521
ssh_cipher_value = Ciphers aes128-ctr,aes192-ctr,aes256-ctr
ssh_macs_value = MACs hmac-sha2-512-etm@openssh.com,hmac-sha2-256-etm@openssh.com,umac-128-etm@openssh.com,hmac-sha2-512,hmac-sha2-256,umac-128@openssh.com,hmac-sha1


#################################################################################
#
# set ssh gssapi
# ---------------
# set_ssh_gssapi=yes|no
#
#################################################################################
set_ssh_gssapi = yes


#################################################################################
#
# disable unused software
# ---------------
# disable_unused_software=yes|no
#
# 1. If you don't know what this mean, do not modify this.
# 2. unused_software_value=xxx YYY ZZZ  # split with ' '
#
#################################################################################
disable_unused_software = yes
unused_software_value = printer tftp lpd nfs nfs.lock ypbind daytime sendmail ntalk ident bootps kshell klogin telnet.socket rlogin avahi-daemon avahi-daemon.socket snmpd Rhnsd Pcmcia Kudzu Isdn Gpm Cups Anancron auth shell login exec talk imap pop-2 pop-3 finger

#################################################################################
#
# disable unused user
# ---------------
# disable_unused_user=yes|no
#
# 1. If you don't know what this mean, do not modify this.
# 2. unused_user_value=xxx YYY ZZZ # split with ' '
#
#################################################################################
disable_unused_user = yes
unused_user_value = adm lp sync shutdown halt news uucp operator games nobody rpm smmsp nfsnobody

#################################################################################
#
# set ls and rm aliases
# ---------------
# set_bashrc_alias=yes|no
#
#################################################################################
set_bashrc_alias = yes


#################################################################################
#
# recording the login events
# ---------------
# recording_login_events=yes|no
# login_events_file_name    # log file name of authpriv.info
#
#################################################################################
recording_login_events = yes
login_events_file_name = authpriv.log


#################################################################################
#
# recording the kernel warn
# ---------------
# recording_kernel_warn=yes|no
# kernel_warn_file_name    # log file name of kern.warning
#
#################################################################################
recording_kernel_warn = yes
kernel_warn_file_name = kern.log


#################################################################################
#
# recording the error events
# ---------------
# recording_error_events=yes|no
# error_file_name    # log file name of *.err
#
#################################################################################
recording_error_events = yes
error_file_name = errors.log


#################################################################################
#
# recording the auth events
# ---------------
# recording_auth_events=yes|no
# auth_events_file_name    # log file name of auth.none
#
#################################################################################
recording_auth_events = yes
auth_events_file_name = auth.log

#################################################################################
#
# set core dump
# ---------------
# set_core_dump=yes|no
#
#################################################################################
set_core_dump = yes


#################################################################################
#
# check software Vulnerabilities based on BC-Linux CVE database.
# ---------------
# check_sofware_vulner=yes|no
# rpm_assembly=rpm1 rpm2   #The rpm assembly you want to check its vulnerabilites,
#                           you can add your own rpm name in it. Split with " ".
# cve_report_max_items     #Max cve items will be show on promote by report script,
#                           change as you want.
#
#################################################################################
check_sofware_vulner = yes
rpm_assembly = activemq apr bash file glibc httpd mysql nginx ntp openssh openssl php squid sudo tomcat vsftpd ftp wget samba
cve_report_max_items = 6


#################################################################################
#
# set ssh syslogfacility
# ---------------
# set_ssh_syslogfacility=yes|no
#
#################################################################################
set_ssh_syslogfacility = yes


#################################################################################
# set always set path
# ---------------
# set_always_set_path=yes|no
#
#################################################################################
set_always_set_path = yes


#################################################################################
# set ssh loglevel
# ---------------
# set_ssh_loglevel=yes|no
#
#################################################################################
set_ssh_loglevel = yes


#################################################################################
#
# set Reverse path filtering
# ---------------
# set_rp_filter=yes|no
#
#################################################################################
set_rp_filter = no


#################################################################################
#
# set ssh permit empty passwd
# ---------------
# set_ssh_permitemptypasswd=yes|no
#
#################################################################################
set_ssh_permitemptypasswd = no


#################################################################################
#
# set the system CtrlAltDel burst action
# ---------------
# set_prohibit_ctrlaltdel=yes|no
#
#################################################################################
set_prohibit_ctrlaltdel = no


#################################################################################
#
# set list of users prohibited from logging in
# ---------------
# set_nologin_list=yes|no
#
#################################################################################
set_nologin_list = no

#################################################################################
#
# set disable magic keys
# ---------------
# set_disable_magickeys=yes|no
#
#################################################################################
set_disable_magickeys = no

#################################################################################
#
# set kernel panic on oops
# ---------------
# set_kernel_oops=yes|no
#
#################################################################################
set_kernel_oops = no

#################################################################################
#
# set the limit of system resources
# ---------------
# set_limit_resources=yes|no
#
#################################################################################
set_limit_resources = no

#################################################################################
#
# default settings of fail2ban
#
#################################################################################
jail_content = 'enabled = true\nport = 22\nlogpath = /var/log/secure\nbackend = auto\nbantime = 60m\nfindtime = 1m\nmaxretry = 2\n'

[advance]

#################################################################################
#
# deny root login
# ---------------
# deny_root_login=yes|no
#
# 1. Bewareof this. This is adv action, must used with 'bse fix adv'. When in adv mode,
#    bse will check this value and determin whether to take this action.
# 2. If you don't know what this mean, do not modify this.
# 3. Before set to 'yes', you must has normal user, and it can su or sudo to root.
#    eg. set add_adtional_user to 'yes' before set deny_root_login to 'yes'.
#
#################################################################################
deny_root_login = no


#################################################################################
#
# hide issue file
# ---------------
# hide_issue_info=yes|no
#
# 1. Bewareof this. This is adv action, must used with 'bse fix adv'. When in adv mode,
#    bse will check this value and determin whether to take this action.
# 2. If you don't know what this mean, do not modify this.
# 3. If your machine is based on KVM, stronglly advice you don't change this to 'yes'.
#
#################################################################################
hide_issue_info = no


#################################################################################
#
# nobody can su to root
# ---------------
# forbidden_to_su=yes|no
#
# 1. Bewareof this. This is adv action, must used with 'bse fix adv'. When in adv mode,
#    bse will check this value and determin whether to take this action.
# 2. If you want to set to 'yes', must remember set 'add_adtional_user' to 'yes' too,
#    otherwise you can't change to root forever.
# 3. Stronglly advice you do not change this option to 'yes'.
#
#################################################################################
forbidden_to_su = no


#################################################################################
#
# Add user
# ---------------
# add_addtional_user=yes|no  # yes: add user, no: don't add user.
#
# 1. Bewareof this. This is adv action, must used with 'bse fix adv'. When in adv mode,
#    bse will check this value and determin whether to take this action.
# 2. Can add only one user.
# 3. If set to 'yes', will add user:wangguan, set its password, add it to wheel group.
# 4. If you don't know what this mean, do not modify this.
#
#################################################################################
add_adtional_user = no
userName = wangguan
userPass = $6$LPa7TKMFATvwPs4d$cpKctyW..WGhxpJKeiZOgxTsGvG2kYrnigPfZrbxQ75b36aFgeT8YkmFwuWPki0OvaIlcPtP6mchqXjizGDYT0


#################################################################################
#
# Allow IP Region
# ---------------
#  set_ip_filter=yes|no   # yes: set ip filter, no: don't set ip filter.
#  allowIP_Range=xxx xxx xxx  # split with ' '
#
# 1. Bewareof this. This is adv action, must used with 'bse fix adv'. When in adv mode,
#    bse will check this value and determin whether to take this action.
# 2. allowIP_Range=XXX YYY ZZZ # should split with ' '
# 3. If you don't know what this mean, do not modify this.
#
#################################################################################
set_ip_filter = no
allowIP_Range = 10. 20. 30. 192. 172.


#################################################################################
#
# change log file property
# ---------------
#  set_log_file_property=yes|no
#
# 1. Bewareof this. This is adv action, must used with 'bse fix adv'. When in adv mode,
#    bse will check this value and determin whether to take this action.
# 2. If you don't know what this mean, do not modify this.
# 3. If set to 'yes', bse will change log file's property to 600
#
#################################################################################
set_log_file_property = no


#################################################################################
# set ftp banner
# ---------------
# set_ftp_banner=yes|no
#
#################################################################################
set_ftp_banner = no


#################################################################################
#
# set ftp restrictdir
# ---------------
# set_ftp_restrictdir=yes|no
#
#################################################################################
set_ftp_restrictdir = no


#################################################################################
#
# set Prohibit anonymous FTP
# ---------------
# set_ftp_anonymous=yes|no
#
#################################################################################
set_ftp_anonymous = no

#################################################################################
#
# set log server
# ---------------
# set_log_server=yes|no
#
#################################################################################
set_log_server = yes
server_ip = 0.0.0.0