等保测评-Linux服务器常见整改加固

于 2024-08-23 14:12:28 发布
阅读量780 收藏 22
点赞数 16
文章标签: 服务器 linux 运维 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_54146694/article/details/141458897
版权

一、身份鉴别

1、密码复杂度

红帽系列:vim /etc/pam.d/system-auth          Debian系列:vim /etc/pam.d/common-password

①Centos 6:password requisite pam_cracklib.so retry=3 difok=3 minlen=8 lcredit=-1 dcredit=-1 ucredit=-1 ocredit=-1

②Centos 7:password    requisite     pam_pwquality.so try_first_pass local_users_only retry=3 authtok_type= minlen=8 lcredit=-1 dcredit=-1 ucredit=-1 ocredit=-1

具体参考URL:

CentOS7密码复杂度配置_centos7 配置密码复杂度-CSDN博客

2、密码有效期(max_days:90 mindays:2 minlen:8 warnage:7)

vim /etc/login.defs

3、登录失败处理功能

远程登录: vim /etc/pam.d/password-auth

auth        required      pam_tally2.so  onerr=fail  deny=3  unlock_time=180 even_deny_root root_unlock_time=180

本地登录:vim /etc/pam.d/system-auth

auth        required      pam_tally2.so onerr=fail deny=3 unlock_time=180 even_deny_root root_unlock_time=180

4、连接超时

vim /etc/profile

TMOUT=1800

5、远程管理防窃听

systemctl start sshd      

二、访问控制

 1、查看用户

cat /etc/passwd

2、修改用户口令

passwd 用户名

3、删除用户信息

userdel 用户名

4、三权分立(安全、审计、系统)

useradd 用户名

三、安全审计

1、审计策略开启

systemctl start auditd.service

systemctl start rsyslog.service

2、审计记录(留存时间>180天)

vim /etc/logrotate.conf

3、连接日志审计

vim /etc/rsyslog.conf

*.* @@:514处改为@+日志审计系统的ip

四、入侵防范

1、杀毒防护软件(clamav)

官方网站:ClamAVNet

freshclam

2、抗DOS

cat /proc/sys/net/ipv4/tcp_syncookies截图【syncookie默认值】
vim /etc/sysctl.conf 加上net.ipv4.tcp_max_syn_backlog = 2048

WeChat&
关注
等保2.0 测评 linux服务器加固 基本安全配置手册
qq_48257021的博客
03-05 1575
auth sufficient /lib/security/$ISA/pam_rootok.so debug: 这行配置指定了一个身份验证模块,pam_rootok.so,它允许以root用户身份进行身份验证,且在调试模式下输出额外的调试信息。这样,新用户将获得一组预定义的文件和配置,用作其个人主目录的起点。禁止所有默认的被操作系统本身启动的且不需要的帐号,当你第一次装上系统时就应该做此检查,Linux提供了各种帐号,你可能不需要,如果你不需要这个帐号,就移走它,你有的帐号越多,就越容易受到攻击。
等保测评linux主机整改
01-20
安全加固部份: 一。密码90天更换,最小长度8 建议: 对login.defs文件修只影响后续建立的用户,如果要改变以前建立的用户的有效期等可以使用chage命令. 1)/etc/login.defs,参考以下设置: PASS_MAX_DAYS 90; PASS_MIN_DAYS 1; PASS_WARN_AGE 28;密码失效28天通知用户 PASS_MIN_LEN 8; 修改命令 sed -i.bak -r ‘/^PASS_MAX_DAYS/s/99999/90/’ /etc/login.defs sed -ir ‘/^PASS_MIN_DAYS/s/0/1/’ /etc/login.
windows和linux的等保加固测评经验分享
2301_80115097的博客
04-18 1220
作为一名等保加固测评人员,需要能做到一下午测评n个服务器接下来就讲讲等保测评加固的经验分享(
阿里云服务器 ECS Linux操作系统加固
weixin_30949361的博客
03-05 356
1. 账号和口令 1.1 禁用或删除无用账号 减少系统无用账号,降低安全风险。 操作步骤 使用命令 userdel <用户名> 删除不必要的账号。 使用命令 passwd -l <用户名> 锁定不必要的账号。 使用命令 passwd -u <用户名> 解锁必要的账号。 1.2 检查特殊账号 检查是否存在空口令和root权限的账号。 操作...
等保三级主机整改建议(linux版)
m0_64546445的博客
12-29 2565
身份鉴别本文章针对于等级保护主机三级整改建议,仅作为参考使用身份鉴别我们使用以下命令进入login.defs这个文件,然后修改25-28行,其中PASS_MAX_DAYS代表密码最大有效期,PASS_MIN_DAYS代表密码最小长度,PASS_MIN_LEN代表密码最短天数;一般设置密码有效期在90天内,长度最小为8位;密码复杂度则需要进入到pwquality.conf文件去修改其中minlen 代表密码最小长度;
Linux 服务器安全加固(等保 2.0 标准)
最新发布
redmond88的博客
05-12 1127
在网络中部署网络/数据库安全审计系统,通过对人员访问系统的行为进行解析、分析、记录、汇报,以帮助用户事前规划预防、事中实时监视、违规行为响应、事后合规报告、事故追踪溯源,加强内外部网络行为监管、促进核心资产(数据库、服务器、网络设备等)的正常运营。建议在网络上部署日志审计系统,采集用户网络中各种不同厂商的安全设备、网络设备、主机、操作系统、以及各种应用系统产生的海量日志信息,并将这些信息汇集到审计中心,进行集中化存储、备份、查询、审计、告警、响应,并出具丰富的审计报表。唯一可以取消这个属性的只有root。
等保2.0 测评 linux服务器加固 基本安全配置手册 -.pdf
03-04
等保2.0 测评 linux服务器加固 基本安全配置手册 -.pdf
基于S3A3G3三级等保标准的Linux系统主机安全加固.pdf
09-06
本文基于CentOS 6.5操作系统,以S3A3G3三级等保标准,提出Linux服务器主机整改安全加固的解决方案。该方案可以顺利地完成信息系统等级保护工作,并通过测评,信息系统安全防护能力得到有效提升。 Linux操作系统是...
linux安全加固
11-27
linux等保三级安全加固操作手册和说明文档,批量执行加固脚本。
等保测评 linux 主机整改
11-14
等保测评 linux 主机整改 等保测评 linux 主机整改 等保测评 linux 主机整改
Linux7(CentOS7)等保三级加固的一些说明
xmtemp9的博客
08-25 807
这些步骤提供了一些基本的加固措施,但请注意,具体的加固步骤可能因组织的具体需求和规定而有所不同。安装和配置入侵检测系统(IDS):通过安装和配置IDS,及时检测系统中的异常活动和入侵行为,并采取相应的措施。定期安全扫描和漏洞评估:定期进行安全扫描和漏洞评估,及时发现系统中的安全漏洞,并采取相应的修复措施。定期审查用户账户:定期审查系统上的用户账户,删除不再需要的用户账户,并确保每个用户都具有适当的权限。定期备份和恢复:定期备份系统和数据,确保备份数据存储在安全的位置,并测试恢复过程以确保备份的可用性。
等保测评linux服务器
热门推荐
weixin_62380574的博客
03-29 1万+
二、安全审计 a)应启用安全审计功能,审计覆盖到每个用户,对重要的用户行为和重要安全事件进行审计。 Linux系统审计功能有两个,一个是audit,另一个是syslog,audit 主要用来记录安全信息,用于对系统安全事件的追溯;而 syslog日志系统用来记录系统中的各种信息,如硬件警报和软件日志等。但是 syslog 属于应用层,没办法记录太多信息。audit 来记录内核信息,包括文件的读写,权限的改变等。 两个功能都是相互独立的,谁都不影响谁,我们测评时主要看audit功能,我们可以使用命...
等保02--linux主机系统加固
Z_l123的博客
12-07 3869
账号和口令 查看有多少账户 cat /etc/shadow 命令 userdel <用户名> 删除不必要的账号 命令 passwd -l <用户名> 锁定不必要的账号 命令 passwd -u <用户名> 解锁必要的账号 查看特殊账号 查看空口令账号 awk -F: '($2=="")' /etc/shadow 查看uid为零的账户//root权限账户 awk -F: '($3==0)' /etc/passwd 添加口令策略..
linux服务器二级等保测评整改(持续更新)
ydZ157的博客
08-16 2633
最近有很多项目做二级等保,整理一下网上零碎的资源,做个记录,跟大家分享一下
linux等保整改
天道酬勤
10-29 1401
LINUX三级等保配置
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值