IT数码 购物 网址 头条 软件 日历 阅读 图书馆
TxT小说阅读器
↓语音阅读,小说下载,古典文学↓
图片批量下载器
↓批量下载图片,美女图库↓
图片自动播放器
↓图片自动播放器↓
一键清除垃圾
↓轻轻一点,清除系统垃圾↓
开发: C++知识库 Java知识库 JavaScript Python PHP知识库 人工智能 区块链 大数据 移动开发 嵌入式 开发工具 数据结构与算法 开发测试 游戏开发 网络协议 系统运维
教程: HTML教程 CSS教程 JavaScript教程 Go语言教程 JQuery教程 VUE教程 VUE3教程 Bootstrap教程 SQL数据库教程 C语言教程 C++教程 Java教程 Python教程 Python3教程 C#教程
数码: 电脑 笔记本 显卡 显示器 固态硬盘 硬盘 耳机 手机 iphone vivo oppo 小米 华为 单反 装机 图拉丁
 
   -> 系统运维 -> linux等保整改 -> 正文阅读

[系统运维]linux等保整改

名称加固目的系统当前状态实施步骤
修改默认账户修改默认账户、提高系统安全性cd /
cat /etc/passwd
步骤一:
创建普通用户 tanrt
adduser tanrt passwd tanrt
步骤二:
赋予tanrt权限、并禁止root用户
vim /etc/passwd
tanrt:x:0:1007::/home/tanrt:/bin/bash
root:x:0:0:root:/root:/bin/
nologin
root属组用户查找
awk -F ":" '($3=="0"){print $1}' /etc/passwd
设置密码策略密码必须满足复杂度要求?cat /etc/pam.d/system-auth |grep pam_pwquality.so步骤一:进入编辑界面
vim /etc/pam.d/system-auth
步骤二:pam_pwquality.so 添加
try_first_pass local_users_only retry=3 authtok_type= minlen=8 lcredit=-1 ucredit=-1 ocredit=-1 enforce_for_root
设置密码有效期密码有效期90天、提高系统安全性cat /etc/login.defs步骤一 进入密码设置界面
vim /etc/login.defs
步骤二:修改如下字段
PASS_MAX_DAYS???90
PASS_MIN_DAYS???1
PASS_MIN_LEN????8
PASS_WARN_AGE???7
连续登录失败5次锁定账户10分钟cat /etc/pam.d/system-authauth required pam_tally2.so? onerr=fail? deny=3? unlock_time=40 even_deny_root root_unlock_time=30
超时退出设置15分钟超时退出、提高系统安全性cat /etc/profile |grep TMOUT步骤一 进入编辑设置界面
vim /etc/profile
export TMOUT=3600
登录失败锁定账户连续登录失败5次锁定账户10分钟find ./ -name pam_tally2.soauth??? required??? pam_tally2.so??? deny=3??? unlock_time=600 even_deny_root root_unlock_time=1200
auth required pam_tally2.so onerr=fail deny=5 unlock_time=300 even_deny_root root_unlock_time=300
vim /etc/pam.d/sshd
禁止root直连禁止使用root账户登录ssh连接,提高系统安全性cat /etc/ssh/sshd_config |grep PermitRootLogin步骤一:进入编辑界面
vim? /etc/ssh/sshd_config
PermitRootLogin?no
systemctl restart sshd
修改远程登录端口修改远程登录登录默认端口22cat /etc/ssh/sshd_config |grep Port步骤一:进入编辑界面
vim /etc/ssh/sshd_config
Port?2200
systemctl restart sshd (防火墙,云控制台添加2200端口)
空口令查询禁止空口令登录系统?awk -F ":" '($2==""){print $1}' /etc/shadow?步骤一:
awk -F ":" '($2==""){print $1}' /etc/shadow
查看结果有就存在空口令
添加日志审计规则添加日志审计规则auditctl -l步骤一:进入编辑界面
?vi /etc/audit/rules.d/audit.rules
'-w /etc/group -p wa -k identity
-w /etc/passwd -p wa -k identity
-w /etc/gshadow -p wa -k identity
-w /etc/shadow -p wa -k identity
-w /etc/security/opasswd -p wa -k identity
####记录登录和登出事件
-w /var/log/lastlog -p wa -k logins
-w /var/run/faillock/ -p wa -k logins
service auditd restart
开启防火墙开启防火墙firewall-cmd --state步骤一:查看防火墙状态
firewall-cmd --state
步骤二:开启防火墙
no running?未启用防火墙规则
service firewalld start
service firewalld restart

systemctl start firewalld.service
systemctl restart firewalld.service
查看业务端口查看业务端口firewall-cmd --list-all
添加业务端口添加业务特定端口firewall-cmd --list-all步骤一:添加业务端口
firewall-cmd --permanent --add-port=80/tcp
步骤二:重启防火墙
firewall-cmd --reload
移除业务端口移除业务端口firewall-cmd --list-all步骤一:移除
firewall-cmd --permanent --remove-port=8080/tcp
步骤二:重启防火墙
firewall-cmd --reload
添加日志审计员auditorcat /etc/passwd步骤一:添加用户
adduser auditor
passwd auditor
步骤二:修改配置
vi /etc/sudoers
auditor ALL = (root) NOPASSWD: /usr/bin/cat , /usr/bin/less , /usr/bin/more , /usr/bin/tail , /usr/bin/head
步骤三:设置访问权限
chown -R auditor:auditor /var/log

?
添加安全管理员securitorcat /etc/passwd步骤一:添加securitor
adduser -d /etc securitor
步骤二:添加属组指定/etc只允许审计管理员访问
chown -R securitor:securitor /etc
注意:创建文件夹所属权限的账户时候切换账户 提示 -bash-4.1$
执行命令 cp -a /etc/skel/. /etc

cat etc/firewalld/firewalld.conf
etc/firewalld/firewalld.conf文件将其中的”LogDenied=off”调整为”LogDenied=all“(off表示关闭不记录被拒绝日志,all表示记录所有被拒的日志)
[root@localhost ~]# systemctl restart firewalld.service
[root@localhost ~]# firewall-cmd --get-log-denied
all

?
禁ping1可以ping
0禁止ping
echo "0" > /proc/sys/net/ipv4/icmp_echo_ignore_all
添加一个堵塞IP
iptables -I INPUT -s 117.50.179.188 -j DROP
查看
iptables -L -n --line-number
iptables -D INPUT number

firewall-cmd --permanent --add-rich-rule='rule family=ipv4 source address="117.50.179.188" drop'

firewall-cmd --list-all
systemctl restart firewalld.service
异常IP源站
117.161.29.198117.161.29.197添加
firewall-cmd --permanent --add-rich-rule='rule family=ipv4 source address="117.50.179.188" drop'
移除
firewall-cmd --permanent --remove-rich-rule='rule family=ipv4 source address="123.44.55.66" drop'
重启
firewall-cmd --reload
  系统运维 最新文章
配置小型公司网络WLAN基本业务(AC通过三层
如何在交付运维过程中建立风险底线意识,提
快速传输大文件,怎么通过网络传大文件给对
从游戏服务端角度分析移动同步(状态同步)
MySQL使用MyCat实现分库分表
如何用DWDM射频光纤技术实现200公里外的站点
国内顺畅下载k8s.gcr.io的镜像
自动化测试appium
ctfshow ssrf
Linux操作系统学习之实用指令(Centos7/8均
上一篇文章      下一篇文章      查看所有文章
加:2022-10-31 12:39:36  更:2022-10-31 12:42:35 
 
开发: C++知识库 Java知识库 JavaScript Python PHP知识库 人工智能 区块链 大数据 移动开发 嵌入式 开发工具 数据结构与算法 开发测试 游戏开发 网络协议 系统运维
教程: HTML教程 CSS教程 JavaScript教程 Go语言教程 JQuery教程 VUE教程 VUE3教程 Bootstrap教程 SQL数据库教程 C语言教程 C++教程 Java教程 Python教程 Python3教程 C#教程
数码: 电脑 笔记本 显卡 显示器 固态硬盘 硬盘 耳机 手机 iphone vivo oppo 小米 华为 单反 装机 图拉丁

360图书馆 购物 三丰科技 阅读网 日历 万年历 2024年11日历 -2024/11/25 18:46:09-

图片自动播放器
↓图片自动播放器↓
TxT小说阅读器
↓语音阅读,小说下载,古典文学↓
一键清除垃圾
↓轻轻一点,清除系统垃圾↓
图片批量下载器
↓批量下载图片,美女图库↓
  网站联系: qq:121756557 email:121756557@qq.com  IT数码