欢迎您访问程序员文章站本站旨在为大家提供分享程序员计算机编程知识!
您现在的位置是: 首页

Linux系统加固的一些措施-甘广欣二级等保

程序员文章站 2022-03-03 11:07:17
...

项目一般都会做二级等保要求,对于Linux操作系统这块通常需要做到以下几点:

1、不允许root远程登录(执行这一步前先建一个新的用户免得登录不了!)

修改 vim /etc/ssh/sshd_config  

PermitRootLogin yes改为PermitRootLogin no 

重启ssh服务

systemctl restart sshd.service

 

2、密码复杂度设置

修改文件     /etc/login.defs  的配置为以下

PASS_MAX_DAYS 90

PASS_MIN_DAYS 1

PASS_WARN_AGE 28

 

PASS_MIN_LEN 8

 

/etc/pam.d/system-auth和/etc/pam.d/password-auth:
password    requisite     pam_cracklib.so  retry=3 difok=3 minlen=10 ucredit=-1 lcredit=-1 dcredit=-1 ocredit=-1 enforce_for_root(红帽6)
password    requisite     pam_pwquality.so try_first_pass local_users_only retry=3 authtok_type=  difok=10 minlen=10 ucredit=-1 lcredit=-1 dcredit=-1  minclass=2 maxsequence=3 maxrepeat=3(红帽7)

 先更改密码后使用chage -m 1 -M 180 -W 28 root命令更新账户密码复杂度

 

3、登录配置

红帽6

使用命令:find / -name pam_tally*.so 如显示pam_tally2.so 应优先启用该模块在/etc/pam.d/sshd文件中第一行配置:

auth required pam_tally2.so deny=3 unlock_time=300 even_deny_root root_unlock_time=300 audit

如显示pam_tally.so 应在/etc/pam.d/sshd文件中第一行配置:

auth required /lib/security/pam_tally.so 

account required /lib/security/pam_tally.so deny=3 unlock_time=1800 even_deny_root_account  no_magic_root reset

(建议普通用户设置为5次,root用户设置为30次)

红帽7

使用命令:find / -name pam_faillock.so 在/etc/pam.d/system-auth文件和/etc/pam.d/password-auth和/etc/pam.d/gdm-password文件中第一行配置

auth        required      pam_faillock.so authfail silent audit deny=3 even_deny_root unlock_time=600;

 

在文件/etc/profile中设置超时锁定参数,在profile下设置TMOUT=300s。)

相关标签: Linux 二级等保