服务器安全策略、密码策略、服务器审计

密码过期时长

进入login.defs文件

vim /etc/login.defs

追加或修改

# 密码最长过期天数
PASS_MAX_DAYS 90 　
# 密码最小过期天数　
PASS_MIN_DAYS 80 　
# 密码最小长度　　
PASS_MIN_LEN 10 　
#密码过期警告天数　　　
PASS_WARN_AGE 7

检查密码复杂性

#检查密码复杂性
sudo yum install cracklib
vim /etc/pam.d/system-auth
将password requisite 。。。 一行替换成 修改密码的策略

password requisite pam_cracklib.so retry=5 difok=3 minlen=8 ucredit=-1 lcredit=-3 dcredit=-3 dictpath=/usr/share/cracklib/pw_dict

尝试次数：5 ；最少不同字符：3 ；最小密码长度：8 ；最少大写字母：1；最少小写字母：3 ；最少数字：3 ；字典位置：/usr/share/cracklib/pw_dict

登陆策略

root下
vim /etc/pam.d/sshd 文件的 #%PAM-1.0 下加一行：

密码错误5次 锁定10分钟

auth       required     pam_tally2.so deny=5 unlock_time=600

服务连接策略

如果默认已经打开，不用修改，表示10分钟需要接到一次客户端的情况，连续三次收不到就断开

vim /etc/ssh/sshd_config

追加或修改

ClientAliveInterval 600
ClientAliveCountMax 3

连接超时参数

vim /etc/profile
# 连接超时 30分钟无操作断开连接
TMOUT= 1800s

重命名默认账户

vim /etc/passwd
将第一行第一个的root 改成 预设的账户（如：test）,保存退出
切换用户，上一步设定的账户
su test
受权用户写权限
chmod u+w /etc/shadow
vim /etc/shadow
将第一行的root 改成预设的账户（如：test）

• root：第一个字段是用户名。

• x：第二个字段是密码的占位符"x"。

• 0：第三个字段是用户标识号，也被称为 uid，系统通过这个数字来识别用户身份，此处的"0"就是root，是超级用户的标识号，1~499由系统保留，作为管理账号，普通用户的标识号从500开始，自己定义的普通用户，标识号都是大于或等于500的。

• 0：第四个字段是组标识号，也被称为 gid，对应着 /etc/passwd 中的一条记录。

• root：第五个字段是注释说明，没有实际意义。

• /root：第六个字段是用户的家目录，root 的家目录是 /root，普通用户的家目录是 /home/[username]，也可以自定义用户家目录。

• /bin/bash：第七个字段是用户的 shell，用户登录后需要启动一个进程，用来将用户输入的命令传送给系统内核，这就是 shell，RedHad/CentOS 的 shell 默认是bash。若想要更改系统创建用户时的默认shell，可以在修改此文件中 /etc/default/useradd 中 SHELL 一行，比如：SHELL=/bin/bash，修改此处。

CentOS7的审计配置

审计主要用于查看系统改动的信息，如系统密码修改，用户的新建，主要用于保障系统的安全

systemctl enable auditd
vim /etc/audit/rules.d/audit.rules

audit.rules替换为如下内容，仅供参考

# 记录登录和登出事件
-w /var/log/lastlog -p wa -k logins
-w /var/run/faillock/ -p wa -k logins
# 记录会话启动事件
-w /var/run/utmp -p wa -k session
-w /var/log/wtmp -p wa -k logins
-w /var/log/btmp -p wa -k logins
# 确保收集用户的文件删除事件
-a always,exit -F arch=b64 -S unlink -S unlinkat -S rename -S renameat -F auid>=1000 >-F auid!=4294967295 -k delete
-a always,exit -F arch=b32 -S unlink -S unlinkat -S rename -S renameat -F auid>=1000 >-F auid!=4294967295 -k delete
# 确保收集对系统管理范围（sudoers）的更改
-w /etc/sudoers -p wa -k scope
-w /etc/sudoers.d/ -p wa -k scope
# 监视sudo日志文件
-w /var/log/sudo.log -p wa -k actions
# 确保审核配置是不可变的
-e 2

auditd将审核SELinux AVC拒绝、系统登录、帐户修改和身份验证事件。事件将记录到 /var/log/audit/audit.log

记录会话启动事件

文件/var/run/utmp跟踪当前登录的所有用户。所有审计记录都将用标识符“session”标记， 可以用who命令读取

/var/log/wtmp文件跟踪登录、注销、关机和重新启动事件。

文件/var/log/btmp跟踪失败的登录尝试，可以通过输入命令 ‘/usr/bin/last-f /var/log/btmp’ 读取。所有审核记录都将被标记为标识符“logins”

监视sudo日志文件

如果系统已正确配置为禁用su命令并强制所有管理员必须先登录，然后使用sudo执行特权命令，

然后所有管理员命令将被记录到/var/log/sudo.log文件.

每当执行命令时，审核事件将被触发为/var/log/sudo.log文件将打开文件进行写入，并执行管理命令将写入日志。

更多配置参考文章
更多直接搜索CentOS7的审计配置