[系统运维]Linux三级等保基本设置

?

登录口令整改

• 要求：密码长度必须在8位以上。

• 首先查看当前的活动用户信息。

  cat /etc/shadow
  

  • root是活动用户，没有设置密码的用户，定义为非活动用户

• 查看当前的密码设置规则（解释Linux对应的密码策略模块有：pam_passwdqc 和 pam_pwquality 。其中pam_passwdqc模块对应的是/etc/login.defs，pam_pwquality对应的是/etc/security/pwquality.conf）

  cat /etc/security/pwquality.conf
  

• 重要参数解释：

  retry=N：定义登录/修改密码失败时，可以重试的次数；

  Difok=N：定义新密码中必须有几个字符要与旧密码不同。但是如果新密码中有1/2以上的字符与旧密码不同时，该新密码将被接受；

  minlen=N：定义用户密码的最小长度；

  dcredit=N：定义用户密码中必须包含多少个数字；

  ucredit=N：定义用户密码中必须包含多少个大写字母；

  lcredit=N：定义用户密码中必须包含多少个小些字母；

  ocredit=N：定义用户密码中必须包含多少个特殊字符(除数字、字母之外)；

  其中 =-1表示，至少有一个。

密码90天内更换

• 查看用户的密码设置信息

  chage -l root
  
  最近一次密码修改时间
  密码过期时间
  密码失效时间
  账户过期时间
  两次改变密码之间相距的最小天数
  两次改变密码之间相距的最大天数
  在密码过期之前警告的天数
  

• chage参数如下：

  • -d：指定密码最后修改日期
  • -E：密码到期的日期，过了这天，此账号将不可用。0表示马上过期，-1表示永不过期
  • -h 显示帮助信息并退出
  • -i：停滞时期。如果一个密码已过期这些天，那么此帐号将不可用。
  • -l：列出用户以及密码的有效期
  • -m 密码可以更改的最小天数。为零代表任何时候都可以更改密码。
  • -M 密码保持有效的最大天数。
  • -W 密码过期前，提前收到警告信息的天数。

• 修改操作：sysadmin账户的密码有效期是90天，修改后，3天之内不能再次修改，密码失效提前15天提示。

  chage -M 90 -m 3 -W 15 sysadmin
  

登录失败3次锁定10秒钟

• 设置登录

  vi /etc/pam.d/login
  

  • 添加内容：

    auth required pam_tally2.so deny=3 lock_time=300 even_deny_root root_unlock_time=10
    

  • 解释

    • even_deny_root 也限制root用户；
    • deny 设置普通用户和root用户连续错误登陆的最大次数，超过最大次数，则锁定该用户
    • unlock_time 设定普通用户锁定后，多少时间后解锁，单位是秒；
    • root_unlock_time 设定root用户锁定后，多少时间后解锁，单位是秒；

• 设置ssh登录

• 在/etc/pam.d/sshd内添加：

  auth required pam_tally2.so deny=3 lock_time=300 even_deny_root root_unlock_time=10
  

• 然后重启ssh的服务

  systemctl restart sshd
  

系统超时多长时间退出登录

• 检查/etc/profile文件中有无TMOUT环境变量设置。 例如：export TMOUT=600，其中600表示超过600秒无操作即断开连接

  vi /etc/profile
  #打开文件后，在末尾增加下面两行内容，然后保存退出。
  export TMOUT=600   #600秒无操作自动退出登录
  readonly TMOUT	# 将值设置为readonly 防止用户更改，在shell中无法修改TMOUT
  

  • 刷新profile

    source /etc/profile