等保测评linux主机整改

已于 2022-05-16 10:14:29 修改
阅读量3.4k 收藏 17
点赞数 3
文章标签: linux
于 2020-04-16 12:01:02 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_39438868/article/details/105554853
版权

安全加固部份:
一。密码90天更换,最小长度8
建议:
对login.defs文件修只影响后续建立的用户,如果要改变以前建立的用户的有效期等可以使用chage命令.
1)/etc/login.defs,参考以下设置:
PASS_MAX_DAYS 90;
PASS_MIN_DAYS 1;
PASS_WARN_AGE 28;密码失效28天通知用户
PASS_MIN_LEN 8;

修改命令

sed -i.bak -r ‘/^PASS_MAX_DAYS/s/99999/90/’ /etc/login.defs
sed -ir ‘/^PASS_MIN_DAYS/s/0/1/’ /etc/login.defs
sed -ir ‘/^PASS_WARN_AGE/s/7/28/’ /etc/login.defs
sed -ir ‘/^PASS_MIN_LEN/s/5/8/’ /etc/login.defs

二。)在/etc/pam.d/system-auth文件中配置密码复杂度:

sed -i.bak '/password    required      pam_deny.so/i\password requisite pam_cracklib.so minlen=8 ucredit=-2 lcredit=-1 dcredit=-4 ocredit=-1' /etc/pam.d/system-auth

在pam_pwquality.so 后面配置参数
password requisite pam_pwquality.so try_first_pass local_users_only retry=3 authtok_type=

password requisite pam_pwquality.so try_first_pass local_users_only retry=3 authtok_type= minlen=8 ucredit=-1 lcredit=-1 ocredit=-1 dcredit=-1

=1111==
retry=5 difok=3 minlen=10 ucredit=-1 lcredit=-3 dcredit=-3 dictpath=/usr/share/cracklib/pw_dict
参数含义:
尝试次数:5 ;最少不同字符:3 ;最小密码长度:10 ;最少大写字母:1;最少小写字母:3 ;最少数字:3 ;字典位置:/usr/share/cracklib/pw_dict
=1111==

操作系统所有账户登陆密码和密码策略配置必须同时具备,才为符合。

配置失败登陆锁定:
1种方式.(/etc/pam.d/sshd前面添加一行 测试能锁定用户)
auth required pam_tally2.so onerr=fail deny=3 unlock_time=300 even_deny_root root_unlock_time=300)

sed -i.bak ‘2i\auth required pam_tally2.so onerr=fail deny=3 unlock_time=300 even_deny_root root_unlock_time=300’ /etc/pam.d/sshd
2.种方式(测试有问题)
sed -i.bak ‘/auth required pam_deny.so/i\auth required pam_tally2.so even_deny_root deny=8 unlock_time=180’ /etc/pam.d/system-auth

sed -i.bak ‘/auth required pam_deny.so/i\auth required pam_tally2.so even_deny_root deny=8 unlock_time=180’ /etc/pam.d/system-auth
建议在:/etc/pam.d/system-auth文件中配置:
(在centos7不存在这个库:pam_tally.so)
auth required /lib/security/pam_tally.so onerr=fail no_magic_root
account required /lib/security/pam_tally.so deny=5 no_magic_root reset(建议普通用户设置为5次,root用户设置为30次),或在sshd中设置。

查找用户失败次数
pam_tally2 -u root
解锁用户
pam_tally2 -r -u root

================================
centos8登陆失败处理:
修改以下文件

/etc/pam.d/password-auth
/etc/pam.d/system-auth

添加内容:

auth        required      pam_faillock.so preauth silent audit deny=5 unlock_time=300
auth        [default=die]  pam_faillock.so  authfail  audit  deny=5  unlock_time=300
account  required  pam_faillock.so

在这里插入图片描述
在这里插入图片描述
查找用户失败次数
faillock -u root
解锁用户
faillock --user root --reset

三。
建议对服务器操作系统审计记录进行备份,且日志保存时间应为6个月。改/etc/logrotate.conf 配置为rotate 26;或改weekly为monthly,rotate为6,并进行有效备份,备份至日志服务器中。
sed -i.bak ‘s/weekly/monthly/’ /etc/logrotate.conf
sed -i.bak ‘s/rotate 4/rotate 6/’ /etc/logrotate.conf

四。ssh建议操作系统限制终端可接入方式或限制可登录的网络地址范围。

配置用例:
在/etc/ssh/sshd_config内添加
AllowUsers root@122.18.*
AllowUsers root@172.30.0.*
#AllowUsers root@192.168.16.*
#AllowUsers root@192.168.16.166,192.168.16.167
#AllowUsers root@192.168.16.0/24
systemctl restart sshd

以上配置修改集合

#!/bin/bash
echo “=密码90天更换,最小长度8
sed -i.bak -r ‘/^PASS_MAX_DAYS/s/99999/90/’ /etc/login.defs
sed -ir ‘/^PASS_MIN_DAYS/s/0/1/’ /etc/login.defs
sed -ir ‘/^PASS_WARN_AGE/s/7/28/’ /etc/login.defs
sed -ir ‘/^PASS_MIN_LEN/s/5/8/’ /etc/login.defs

echo “=/etc/pam.d/system-auth文件中配置密码复杂度=====”
sed -i.bak -r ‘/^password requisite/s/$/ minlen=8 ucredit=-1 lcredit=-1 ocredit=-1 dcredit=-1/’ /etc/pam.d/system-auth

echo “=配置用户锁定:==”
sed -i.bak ‘2i\auth required pam_tally2.so onerr=fail deny=3 unlock_time=300 even_deny_root root_unlock_time=300’ /etc/pam.d/sshd
echo “=配置日志保存时间应为6个月
sed -i.bak ‘s/weekly/monthly/’ /etc/logrotate.conf
sed -i ‘s/rotate 4/rotate 6/’ /etc/logrotate.conf

echo “配置限制登陆地址范围”

echo “AllowUsers root@XXX.30.0.*” >> /etc/ssh/sshd_config

systemctl restart sshd

五:配置denyhosts防爆破

systemctl status denyhosts

[root@SSHGRATEWAY data]# cat /usr/share/denyhosts/denyhosts.cfg|grep -v ^#|grep -v ^$
############ THESE SETTINGS ARE REQUIRED ############
SECURE_LOG = /var/log/secure
HOSTS_DENY = /etc/hosts.deny
PURGE_DENY = 5m
BLOCK_SERVICE = sshd
DENY_THRESHOLD_INVALID = 5
DENY_THRESHOLD_VALID = 5
DENY_THRESHOLD_ROOT = 5
DENY_THRESHOLD_RESTRICTED = 20
WORK_DIR = /usr/share/denyhosts/data
SUSPICIOUS_LOGIN_REPORT_ALLOWED_HOSTS=YES
HOSTNAME_LOOKUP=NO
LOCK_FILE = /var/lock/subsys/denyhosts
############ THESE SETTINGS ARE OPTIONAL ############
ADMIN_EMAIL =
SMTP_HOST = localhost
SMTP_PORT = 25
SMTP_FROM = DenyHosts nobody@localhost
SMTP_SUBJECT = DenyHosts Report
AGE_RESET_VALID=1w
AGE_RESET_ROOT=1w
AGE_RESET_RESTRICTED=1w
AGE_RESET_INVALID=1w
RESET_ON_SUCCESS = yes
######### THESE SETTINGS ARE SPECIFIC TO DAEMON MODE ##########
DAEMON_LOG = /var/log/denyhosts

DAEMON_SLEEP = 30s
DAEMON_PURGE = 5m
######### THESE SETTINGS ARE SPECIFIC TO ##########
######### DAEMON SYNCHRONIZATION ##########

修改完配置文件后

systemctl restart denyhosts

ip超过允许阀值后被锁除方式

停用 DenyHosts : systemctl stop denyhosts.service
删除黑名单中当前的ip地址: vim /etc/hosts.deny
进入 /var/lib/denyhosts 或者这个目录cd /usr/share/denyhosts/data

-rw-r–r-- 1 root root 39 2月 16 2015 allowed-hosts
-rw-r–r-- 1 root root 71451 7月 19 10:58 hosts
-rw-r–r-- 1 root root 71270 7月 19 10:58 hosts-restricted
-rw-r–r-- 1 root root 71433 7月 19 10:58 hosts-root
-rw-r–r-- 1 root root 71280 7月 19 10:58 hosts-valid
-rw-r–r-- 1 root root 105 7月 19 10:58 offset
-rw-r–r-- 1 root root 0 7月 19 10:58 suspicious-logins
-rw-r–r-- 1 root root 44731 7月 19 10:58 users-hosts
-rw-r–r-- 1 root root 50925 7月 19 10:58 users-invalid
-rw-r–r-- 1 root root 643 7月 19 10:58 users-valid
依次在上面各个文件中移除自己当前的IP地址

x10n9
关注
  • 3
    点赞
  • 17
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
linux+Oracle等测评常用指令
11-04
linux+Oracle等测评常用指令 linux+Oracle等测评常用指令
Linux 系统用户密码长度以及复杂度进行限制 PAM
weixin_30376083的博客
05-21 1790
1.修改用户复杂度的2个文件 PAM服务文件 1、# more /etc/pam.d/loginauth required pam_securetty.soauth required pam_stack.so service=system-authauth required...
Linux最全等测评linux主机整改_no_magic_root(1),2024年最新看完豁然开朗
ccc6553584的博客
05-10 252
本书第﹖版以最新的Ubuntu 12.04为版本,循序渐进地向读者介绍了Linux 的基础应用、系统管理、网络应用、娱乐和办公、程序开发、服务器配置、系统安全等。account required /lib/security/pam_tally.so deny=5 no_magic_root reset(建议普通用户设置为5次,root用户设置为30次),或在sshd中设置。echo “=/etc/pam.d/system-auth文件中配置密码复杂度=====”echo “=配置用户锁定:==”
linux整改
天道酬勤
10-29 1351
LINUX三级等配置
主机安全基线合规--配置指导linux系统.pdf
07-31
身份鉴别策略组检测 1.1 口令周期检测 1.1.1 最长使用周期小于等于90天 1.1.2 最短更换周期大于等于2天 1.1.3 距失效提示天数大于等于5天 1.2 密码复杂度检测 1.2.1 密码复杂性要求 1.3 登录锁定检测 1.3.1 普通用户触发锁定次数小于等于5 1.3.2 普通用户锁定时间大于等于5分钟 1.3.3 Root用户触发锁定次数小于等于5 1.3.4 Root用户锁定时间大于等于5分钟 1.4 root权限用户 1.4.1 root权限用户检测 1.5 wheel组 1.5.1 wheel组检测 1.6 相同ID用户 1.6.1.相同ID用户检测
Linux操作系统等三级(整改方案)
枪菜且白给的博客
06-08 5966
1、应核查审计记录信息是否包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息。(tail -20/var/log/audit/audit.log(查看最近20行日志);例如要监控/etc/passwd 文件的修改行为,可以使用这个命令: #auditctl -w /etc/passwd -p wa。也可以自己将上述内容加入到文件/etc/audit/rules.d/audit.rules 中即可实现对该文件的监视。控制规则可以在/etc/audit/audit.rules 中设置。
测评 linux 主机整改
11-14
测评 linux 主机整改测评 linux 主机整改测评 linux 主机整改
[等]linux主机检查脚本.sh
10-19
【等linux主机检查脚本
2.0测评 linux服务器加固 基本安全配置手册.docx
12-25
2.0测评 Linux 服务器加固基本安全配置手册 Linux 服务器加固是等2.0测评的重要组成部分,本手册提供了基本的安全配置手册,旨在帮助管理员快速实现 Linux 服务器的加固。下面是该手册中涵盖的知识点: 一、...
Linux三级整改
人走茶良的博客
07-10 3197
一、操作系统的检测 更多最新更新:请点击这里 1、设置密码安全策略 1)修改vim /etc/login.defs文件 #vim /etc/login.defs PASS_MAX_DAYS 90    # 密码最长过期天数 PASS_MIN_DAYS 80     # 密码最小过期天数 PASS_MIN_LEN 16      # 密码最小长度 PASS_WARN_AGE 14     # 密码过期警告天数 2)修改/etc/pam.d/syst
中国电科院linux系统安全评审整改方案
06-29
中国电科院系统安全评审整改方案 centos 7 系统安全整改方案 包含:安全启动、认证鉴权、访问控制、 安全审计、外围接口、终端升级等
linux服务器二级等测评整改(持续更新)
ydZ157的博客
08-16 2488
最近有很多项目做二级等,整理一下网上零碎的资源,做个记录,跟大家分享一下
三级主机整改建议(linux版)
m0_64546445的博客
12-29 1856
身份鉴别本文章针对于等级主机三级整改建议,仅作为参考使用身份鉴别我们使用以下命令进入login.defs这个文件,然后修改25-28行,其中PASS_MAX_DAYS代表密码最大有效期,PASS_MIN_DAYS代表密码最小长度,PASS_MIN_LEN代表密码最短天数;一般设置密码有效期在90天内,长度最小为8位;密码复杂度则需要进入到pwquality.conf文件去修改其中minlen 代表密码最小长度;
Linux 操作系统等测评二级合规基线整改项 - 安全审计篇
最新发布
qq_57930963的博客
05-31 1581
根据 Linux 操作系统的等测评二级合规基线要求,确系统具备安全审计功能,对系统中的重要事件和操作进行记录和审计,以便后续的安全分析和追溯。通过以上整改措施,可以满足 Linux 操作系统等测评二级合规基线关于安全审计的要求。启用审计功能、配置审计策略、定期审计日志、护审计日志以及建立审计告警和响应机制,将有助于提高系统的安全性和合规性。
2.0 Linux主机测评
dzqxwzoe的博客
08-04 1690
以下结果以CentOS 7 为例,按照等2.0标准,2021报告模板,三级系统要求进行测评
配置Linux系统了解主动防御
要啥啥不行,偷懒第一名
11-03 872
实验目的&要求:了解Linux系统帐户创建,密码设置,登录管理。 实验内容 1. 设置用户密码策略。 添加实验用账户test,密码设置为test。系统环境搭建时已创建test用户。创建密码时输入123, 系统提示密码字符太短。 密码输入123456,提示密码过于简单。 ...
linux设置登录失败处理功能
fhw925464207的博客
06-06 3584
上面的错误意思是在/lib64/security/ 下面找不到pam_tally.so,而我进入到目录下,确实没找到这个文件,解决方法是将现有的 pam_tally2.so做个软连接到pam_tally.so。root_unlock_time=300 #与even_deny_root相对应的选项,如果配置该选项,则root用户在登录失败次数超出限制后被锁定指定时间为300秒。(1)编辑系统/etc/pam.d/sshd文件,添加的内容与服务器终端的一致。1、登录失败处理功能策略(服务器终端)
Linux Server安全配置基线(等)
u011635437的博客
10-15 5588
第1章 概述 1.1 目的 本文档规定了所有维护管理的Linux操作系统的主机应当遵循的操作系统安全性设置标准,本文档旨在指导系统管理人员进行Linux操作系统的安全合规性检查和配置。 1.2 适用范围 本配置标准的使用者包括:服务器管理员、应用管理员、网络安全管理员、运维工程师。 本设置标准适用于Linux服务器系统。 1.3 实施 在本标准的执行过程中若有任何疑问或建议,应及时反馈。 第2章 身份鉴别 2.1 身份标识唯一性 安全基线项目名称:应对登录的用户进行身份标识和鉴别,身份标识具有唯一性,身份鉴
mysql 等整改
09-12
MySQL等整改是指对MySQL数据库进行安全等级评估和整改的过程。等是指信息系统安全等级护的简称,根据国家相关规定,不同等级的信息系统需要满足不同的安全要求。对于MySQL数据库的等整改,可以按照以下步骤进行: 1. 安全评估:对MySQL数据库进行全面的安全评估,包括物理安全、网络安全、系统安全、应用安全等方面,找出存在的安全隐患和问题。 2. 安全策略制定:根据评估结果,制定针对性的安全策略和措施。包括访问控制、用户权限管理、密码策略、日志审计、数据备份恢复等方面。 3. 系统硬化:对MySQL数据库服务器进行系统硬化,关闭不必要的服务和端口,设置防火墙,加强访问控制等。 4. 数据库配置优化:优化数据库配置参数,提高性能同时增加安全性。如合理设置缓冲区大小、最大连接数、超时时间等。 5. 安全审计:建立数据库安全审计机制,记录数据库操作日志,并定期进行审计和检查,及时发现并处理异常情况。 6. 漏洞修复和补丁升级:定期检查并修复MySQL数据库存在的漏洞,并及时升级安全补丁,证数据库的安全性。 7. 数据备份与恢复:建立完善的数据备份和恢复机制,定期备份数据库,并测试恢复过程,以应对数据丢失或系统故障等情况。 8. 培训与意识提升:加强员工安全意识培训,提高其对数据库安全的重视程度,增强信息安全管理能力。 需要注意的是,等整改是一个持续不断的过程,需要定期评估和更新安全策略,以应对不断变化的安全威胁。同时,也建议参考相关的安全标准和规范,如国家信息安全等级护标准等。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值