• 微信公众号:美女很有趣。 工作之余,放松一下,关注即送10G+美女照片!

Linux系统加固的一些措施-甘广欣二级等保

开发技术 开发技术 41分钟前 2次浏览

项目一般都会做二级等保要求,对于Linux操作系统这块通常需要做到以下几点:

1、不允许root远程登录(执行这一步前先建一个新的用户免得登录不了!)

修改 vim /etc/ssh/sshd_config  

PermitRootLogin yes改为PermitRootLogin no 

重启ssh服务

systemctl restart sshd.service

 

2、密码复杂度设置

修改文件     /etc/login.defs  的配置为以下

PASS_MAX_DAYS 90

PASS_MIN_DAYS 1

PASS_WARN_AGE 28

 

PASS_MIN_LEN 8

 

/etc/pam.d/system-auth和/etc/pam.d/password-auth:
password    requisite     pam_cracklib.so  retry=3 difok=3 minlen=10 ucredit=-1 lcredit=-1 dcredit=-1 ocredit=-1 enforce_for_root(红帽6)
password    requisite     pam_pwquality.so try_first_pass local_users_only retry=3 authtok_type=  difok=10 minlen=10 ucredit=-1 lcredit=-1 dcredit=-1  minclass=2 maxsequence=3 maxrepeat=3(红帽7)

 先更改密码后使用chage -m 1 -M 180 -W 28 root命令更新账户密码复杂度

 

3、登录配置

红帽6

使用命令:find / -name pam_tally*.so 如显示pam_tally2.so 应优先启用该模块在/etc/pam.d/sshd文件中第一行配置:

auth required pam_tally2.so deny=3 unlock_time=300 even_deny_root root_unlock_time=300 audit

如显示pam_tally.so 应在/etc/pam.d/sshd文件中第一行配置:

auth required /lib/security/pam_tally.so 

account required /lib/security/pam_tally.so deny=3 unlock_time=1800 even_deny_root_account  no_magic_root reset

(建议普通用户设置为5次,root用户设置为30次)

红帽7

使用命令:find / -name pam_faillock.so 在/etc/pam.d/system-auth文件和/etc/pam.d/password-auth和/etc/pam.d/gdm-password文件中第一行配置

auth        required      pam_faillock.so authfail silent audit deny=3 even_deny_root unlock_time=600;

 

在文件/etc/profile中设置超时锁定参数,在profile下设置TMOUT=300s。)


程序员灯塔
转载请注明原文链接:Linux系统加固的一些措施-甘广欣二级等保
喜欢 (0)