IT数码 购物 网址 头条 软件 日历 阅读 图书馆
TxT小说阅读器
↓语音阅读,小说下载,古典文学↓
图片批量下载器
↓批量下载图片,美女图库↓
图片自动播放器
↓图片自动播放器↓
一键清除垃圾
↓轻轻一点,清除系统垃圾↓
开发: C++知识库 Java知识库 JavaScript Python PHP知识库 人工智能 区块链 大数据 移动开发 嵌入式 开发工具 数据结构与算法 开发测试 游戏开发 网络协议 系统运维
教程: HTML教程 CSS教程 JavaScript教程 Go语言教程 JQuery教程 VUE教程 VUE3教程 Bootstrap教程 SQL数据库教程 C语言教程 C++教程 Java教程 Python教程 Python3教程 C#教程
数码: 电脑 笔记本 显卡 显示器 固态硬盘 硬盘 耳机 手机 iphone vivo oppo 小米 华为 单反 装机 图拉丁
 
   -> 系统运维 -> 等保测评常见整改点(以UOS为例) -> 正文阅读

[系统运维]等保测评常见整改点(以UOS为例)

1、Linux服务器限制使用root远程登录
vi /etc/ssh/sshd_config
修改PermitRootLogin no
systemctl restart sshd.service

2、chage -m 0 -M 90 -W 15 用户名
chage -m 0 -M 90 -W 15 root

3、系统安装并开启审计服务
vi /etc/audit/auditd.conf
max_log_file_action = KEEP_LOGS
systemctl restart auditd.service
系统审计日志 /var/log/audit/audit.log

4、系统安全日志
UOS /var/log/auth.log
麒麟 cat /var/log/secure

5、历史命令记录的总行数修改为0 设置超时时间为360s
echo “export HISTSIZE=0” >> /etc/profile
echo “export TMOUT=360” >> /etc/profile
source /etc/profile

6、修改口令过期时间为90天及最小口令长度为8位
vi /etc/login.defs
PASS_MAX_DAYS 90
#密码最大有效期
PASS_MIN_DAYS 0
#两次修改密码的最小间隔时间
PASS_MIN_LEN 8
#密码最小长度,对于root无效
PASS_WARN_AGE 7
#密码过期前多少天开始提示
USERGROUPS_ENAB yes
#用MD5加密密码

7、口令复杂度校验
vi /etc/pam.d/common-password
password requisite pam_cracklib.so retry=3 difok=3 minlen=8 ucredit=-1 lcredit=-1 ocredit=-1
备注:修改/etc/security/pwquality.conf文件好像不起作用

修改密码,可以重试的次数

retry=3

与旧密码不同的字符个数

difok=3

新密码最小长度

minlen=8

数字个数。大于0,最多;小于0,最少

dcredit=-3

大写字母个数。大于0,最多;小于0,最少

ucredit=-1

小写字母个数。大于0,最多;小于0,最少

lcredit=-1

特殊字符个数。大于0,最多;小于0,最少

ocredit=-1

8、用户ssh/本地登录失败5次锁定帐户
vi /etc/pam.d/sshd
vi /etc/pam.d/login
在文件开头增加以下内容
auth required pam_tally2.so deny=5 unlock_time=300 even_deny_root root_unlock_time=300

9、三员分立
useradd -m -U -s /bin/bash sysadmin
拥有维护进程,防火墙,启停服务的权限
echo ‘sysadmin ALL=(ALL) NOPASSWD:/usr/bin/ping,/bin/ps,/bin/kill,/sbin/service,/sbin/iptables’ >> /etc/sudoers
useradd -m -U -s /bin/bash auditadmin
拥有查看日志的权限
setfacl -Rm u:auditadmin:r /var/log/
useradd -m -U -s /bin/bash secadmin
拥有创建用户,修改用户密码的权限
echo 'secadmin ALL=(ALL) NOPASSWD:/usr/sbin/useradd,/usr/sbin/userdel,/usr/bin/passwd ’ >> /etc/sudoers

10、限制IP通过SSH协议访问机器
echo “sshd:允许访问的IP地址” >> /etc/hosts.allow
echo “sshd:ALL” >> /etc/hosts.deny

11、重要文件使用chattr限制root用户删除
chattr +a /var/log/audit

  系统运维 最新文章
配置小型公司网络WLAN基本业务(AC通过三层
如何在交付运维过程中建立风险底线意识,提
快速传输大文件,怎么通过网络传大文件给对
从游戏服务端角度分析移动同步(状态同步)
MySQL使用MyCat实现分库分表
如何用DWDM射频光纤技术实现200公里外的站点
国内顺畅下载k8s.gcr.io的镜像
自动化测试appium
ctfshow ssrf
Linux操作系统学习之实用指令(Centos7/8均
上一篇文章      下一篇文章      查看所有文章
加:2021-07-14 23:19:00  更:2021-07-14 23:20:58 
 
开发: C++知识库 Java知识库 JavaScript Python PHP知识库 人工智能 区块链 大数据 移动开发 嵌入式 开发工具 数据结构与算法 开发测试 游戏开发 网络协议 系统运维
教程: HTML教程 CSS教程 JavaScript教程 Go语言教程 JQuery教程 VUE教程 VUE3教程 Bootstrap教程 SQL数据库教程 C语言教程 C++教程 Java教程 Python教程 Python3教程 C#教程
数码: 电脑 笔记本 显卡 显示器 固态硬盘 硬盘 耳机 手机 iphone vivo oppo 小米 华为 单反 装机 图拉丁

360图书馆 购物 三丰科技 阅读网 日历 万年历 2024年11日历 -2024/11/15 0:36:56-

图片自动播放器
↓图片自动播放器↓
TxT小说阅读器
↓语音阅读,小说下载,古典文学↓
一键清除垃圾
↓轻轻一点,清除系统垃圾↓
图片批量下载器
↓批量下载图片,美女图库↓
  网站联系: qq:121756557 email:121756557@qq.com  IT数码