Linux系统加固的一些措施-甘广欣二级等保
项目一般都会做二级等保要求,对于Linux操作系统这块通常需要做到以下几点:
1、不允许root远程登录(执行这一步前先建一个新的用户免得登录不了!)
修改 vim /etc/ssh/sshd_config
PermitRootLogin yes改为PermitRootLogin no
重启ssh服务
systemctl restart sshd.service
2、密码复杂度设置
修改文件 /etc/login.defs 的配置为以下
PASS_MAX_DAYS 90
PASS_MIN_DAYS 1
PASS_WARN_AGE 28
PASS_MIN_LEN 8
/etc/pam.d/system-auth和/etc/pam.d/password-auth: password requisite pam_cracklib.so retry=3 difok=3 minlen=10 ucredit=-1 lcredit=-1 dcredit=-1 ocredit=-1 enforce_for_root(红帽6) password requisite pam_pwquality.so try_first_pass local_users_only retry=3 authtok_type= difok=10 minlen=10 ucredit=-1 lcredit=-1 dcredit=-1 minclass=2 maxsequence=3 maxrepeat=3(红帽7)
先更改密码后使用chage -m 1 -M 180 -W 28 root命令更新账户密码复杂度
3、登录配置
红帽6
使用命令:find / -name pam_tally*.so 如显示pam_tally2.so 应优先启用该模块在/etc/pam.d/sshd文件中第一行配置:
auth required pam_tally2.so deny=3 unlock_time=300 even_deny_root root_unlock_time=300 audit
如显示pam_tally.so 应在/etc/pam.d/sshd文件中第一行配置:
auth required /lib/security/pam_tally.so
account required /lib/security/pam_tally.so deny=3 unlock_time=1800 even_deny_root_account no_magic_root reset
(建议普通用户设置为5次,root用户设置为30次)
红帽7
使用命令:find / -name pam_faillock.so 在/etc/pam.d/system-auth文件和/etc/pam.d/password-auth和/etc/pam.d/gdm-password文件中第一行配置
auth required pam_faillock.so authfail silent audit deny=3 even_deny_root unlock_time=600;
在文件/etc/profile中设置超时锁定参数,在profile下设置TMOUT=300s。)