Linux系统加固的一些措施-甘广欣二级等保

项目一般都会做二级等保要求，对于Linux操作系统这块通常需要做到以下几点：

1、不允许root远程登录（执行这一步前先建一个新的用户免得登录不了！）

修改 vim /etc/ssh/sshd_config  

PermitRootLogin yes改为PermitRootLogin no 

重启ssh服务

systemctl restart sshd.service

2、密码复杂度设置

修改文件     /etc/login.defs  的配置为以下

PASS_MAX_DAYS 90

PASS_MIN_DAYS 1

PASS_WARN_AGE 28

PASS_MIN_LEN 8

/etc/pam.d/system-auth和/etc/pam.d/password-auth：
password    requisite     pam_cracklib.so  retry=3 difok=3 minlen=10 ucredit=-1 lcredit=-1 dcredit=-1 ocredit=-1 enforce_for_root（红帽6）
password    requisite     pam_pwquality.so try_first_pass local_users_only retry=3 authtok_type=  difok=10 minlen=10 ucredit=-1 lcredit=-1 dcredit=-1  minclass=2 maxsequence=3 maxrepeat=3（红帽7）

 先更改密码后使用chage -m 1 -M 180 -W 28 root命令更新账户密码复杂度

3、登录配置

红帽6

使用命令：find / -name pam_tally*.so 如显示pam_tally2.so 应优先启用该模块在/etc/pam.d/sshd文件中第一行配置：

auth required pam_tally2.so deny=3 unlock_time=300 even_deny_root root_unlock_time=300 audit

如显示pam_tally.so 应在/etc/pam.d/sshd文件中第一行配置：

auth required /lib/security/pam_tally.so 

account required /lib/security/pam_tally.so deny=3 unlock_time=1800 even_deny_root_account  no_magic_root reset

（建议普通用户设置为5次，root用户设置为30次）

红帽7

使用命令：find / -name pam_faillock.so 在/etc/pam.d/system-auth文件和/etc/pam.d/password-auth和/etc/pam.d/gdm-password文件中第一行配置

auth        required      pam_faillock.so authfail silent audit deny=3 even_deny_root unlock_time=600；

在文件/etc/profile中设置超时锁定参数，在profile下设置TMOUT=300s。）