等保测评Centos和Ubuntu服务器整改全流程

已于 2023-10-07 14:46:11 修改
阅读量1.1k 收藏 12
点赞数 1
分类专栏: 运维经验 文章标签: 服务器 centos linux 运维 ssh ubuntu
于 2023-08-15 16:29:08 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41103628/article/details/132293443
版权

一、运维背景

运维的项目要过三级等保,需对现有服务器进行整改。
Tips:在对配置文件进行修改前请务必备份;修改后验证不要在当前终端验证,请重开一个新终端验证!!!
整改环境:Centos7.6、Ubuntu16.04

二、Centos7.6整改项目

1、账号口令过期时间及复杂度

  1. 备份配置文件
cp /etc/login.defs /etc/login.defs.bak
cp /etc/pam.d/system-auth /etc/pam.d/system-auth.bak
  1. 更改口令过期时间
vim /etc/login.defs
PASS_MAX_DAYS 90	# 口令过期时间, 99999:永不过期
PASS_MIN_DAYS 0		# 0可随时修改,非0多少天后才可修改
PASS_WARN_AGE 7 	# 口令失效前7天在用户登录时提醒修改密码
PASS_MIN_LEN 8		# 口令最小长度,修改pam_cracklib module后该参数不生效
  1. 更改口令复杂度
vim /etc/pam.d/system-auth
password requisite pam_cracklib.so minlen=8 ucredit=-2 lcredit=-1 dcredit=-4 ocredit=-1

minlen		# 口令最小长度
ucredit		# 大写字母个数
lcredit		# 小写字母个数
dcredit		# 数字个数
ocredit		# 特殊字符个数

2、连接超时及登录失败次数锁定

  1. 备份配置文件
cp /etc/pam.d/login /etc/pam.d/login.bak
cp /etc/profile /etc/profile.bak
  1. 登录失败次数锁定
vim /etc/pam.d/login
auth required pam_tally2.so deny=5 unlock_time=300 even_deny_root root_unlock_time=600

deny				# 失败锁定次数
unlock_time			# 锁定后解锁要等待的时间
even_deny_root		# root用户失败锁定次数同普通用户
root_unlock_time	# root用户锁定后解锁要等待的时间
  1. 连接超时时间
vim /etc/profile
export TMOUT=300	#没有就添加一行,300s超时
source /etc/profile	#使配置生效。如果执行该命令报如下错误,其实已经成功退出当前终端即可
“-bash: TMOUT: readonly variable”

3、三权分立

以下账户权限可根据实际需求进行调整

a) 系统管理员

  1. 创建用户
useradd sysadmin
passwd sysadmin
  1. 加入wheel用户组,容许使用su
usermod -G wheel sysadmin

请务必另开终端测试sysadmin账号是否能提升至root!!!

vi /etc/pam.d/su
确保“auth required pam_wheel.so use_uid”未被注释,该配置限制su命令仅限wheel用户组使用

b) 审计管理员

  1. 创建用户
useradd shenji
passwd shenji
  1. 配置审计管理员查看权限
vi /etc/sudoers
# 添加一行
shenji     ALL = (root) NOPASSWD: /usr/bin/cat,/usr/bin/less,/usr/bin/more,/usr/bin/tail,/usr/bin/head
  1. 只容许审计管理员访问日志
chown -R shenji:shenji /var/log
chmod 700 /var/log

c) 安全管理员

  1. 创建账号并指定目录
useradd -d /etc anquan
passwd anquan
  1. 配置/etc权限,只容许安全管理员访问
    注意:此命令会导致无法修改密码,将权限更改后可以修改密码
chown -R anquan:anquan /etc

# 查看三个用户是否创建成功
cat /etc/passwd

4、修改或禁用默认root账号

请根据实际项目需求自行选择修改root用户名或禁用root账号。

a) 修改root账户名

  1. 备份配置文件
cp /etc/passwd /etc/passwd.bak
cp /etc/shadow /etc/shadow.bak
  1. 修改passwd和shadow文件
vi /etc/passwd
vi /etc/shadow
# 修改两个配置文件的第一行root为你想修改的名字

在这里插入图片描述

b) 禁用root账户

本项目一些特殊场景下需要使用root,所以采用禁用root账号的方案

  1. 备份配置文件
cp /etc/pam.d/login /etc/pam.d/login.bak
cp /etc/ssh/sshd_config /etc/ssh/sshd_config.bak
  1. 禁止root本地登录
vi /etc/pam.d/login
# 添加一行
auth required pam_succeed_if.so user != root quiet
  1. 禁止root远程ssh登录
vi /etc/ssh/sshd_config
# 将‘#PermitRootLogin yes’改为
PermitRootLogin no
service sshd restart	#重启SSH服务

5、开启日志审计并保存6个月日志

  1. 开启日志审计功能
systemctl start auditd.service
  1. 修改保存时间
vi /etc/logrotate.conf
# 将‘rotate 4’改为
rotate 25	#保存25周,即175天

二、Ubuntu16.04整改项目

1、三权分立

a) 系统管理员

  1. 创建用户
adduser sysadmin
passwd sysadmin
  1. 容许sysadmin提升root权限
vi /etc/sudoers
# 在‘root  ALL=(ALL)  ALL’下添加一行
sysadmin	ALL=(ALL) ALL
# 该文件为只读模式,使用'x!'强制保存

b) 审计管理员

  1. 创建用户
adduser shenji
passwd ahenji
  1. 配置审计管理员查看权限
vi /etc/sudoers
# 添加一行
shenji     ALL = (root) NOPASSWD: /usr/bin/cat,/usr/bin/less,/usr/bin/more,/usr/bin/tail,/usr/bin/head

c) 安全管理员

  1. 创建用户
adduser anquan
passwd anquan
  1. 配置/etc权限,只容许安全管理员访问
    注意:此命令会导致无法修改密码,将权限更改后可以修改密码
chown -R anquan /etc

# 查看三个用户是否创建成功
cat /etc/passwd

2、账号口令过期时间及复杂度

  1. 备份配置文件
cp /etc/shadow /etc/shadow.bak
  1. 更改口令过期时间
vi /etc/shadow

例:admin:*:18885:0:99999:7:::
第三个冒号和第四个冒号之间:修改口令所需的最短时间
第四个冒号和第五个冒号之间:口令保持的最大有效时间
  1. 更改口令复杂度
    Ubuntu检测口令复杂度需要安装第三方模块,该模块网上使用说明很多就不赘述了。
apt -y install libpam-pwquality

3、连接超时及登录失败次数锁定

  1. 备份配置文件
cp /etc/pam.d/login /etc/pam.d/login.bak
cp /etc/profile /etc/profile.bak
  1. 登录失败次数锁定
vim /etc/pam.d/login
auth required pam_tally2.so deny=5 unlock_time=300 even_deny_root root_unlock_time=600

deny				# 失败锁定次数
unlock_time			# 锁定后解锁要等待的时间
even_deny_root		# root用户失败锁定次数同普通用户
root_unlock_time	# root用户锁定后解锁要等待的时间
  1. 连接超时时间
vim /etc/profile
export TMOUT=300	#没有就添加一行,300s超时
source /etc/profile	#使配置生效

4、修改或禁用默认root账号

请根据实际项目需求自行选择修改root用户名或禁用root账号。

a) 修改root账户名

  1. 备份配置文件
cp /etc/passwd /etc/passwd.bak
cp /etc/shadow /etc/shadow.bak
  1. 修改passwd和shadow文件
vi /etc/passwd
vi /etc/shadow
# 修改两个配置文件的第一行root为你想修改的名字

在这里插入图片描述

b) 禁用root账户

本项目一些特殊场景下需要使用root,所以采用禁用root账号的方案

  1. 备份配置文件
cp /etc/pam.d/login /etc/pam.d/login.bak
cp /etc/ssh/sshd_config /etc/ssh/sshd_config.bak
  1. 禁止root远程ssh登录
vi /etc/ssh/sshd_config
# 将‘#PermitRootLogin yes’改为
PermitRootLogin no
/etc/init.d/ssh restart	#重启SSH服务

5、开启日志审计

  1. 备份配置文件
cp /etc/rsyslog.d/50-default.conf /etc/rsyslog.d/50-default.conf.bak
  1. 开启日志审计功能
vi /etc/rsyslog.d/50-default.conf
# 添加一段
*.=info;*.=notice;*.=warn;\
	auth,authpriv.none;\
	cron,daemon.none;\
	mail,news.none	-/var/log/messages
# 重启rsyslog
/etc/init.d/rsyslog restart

# 查看日志
tail -f /var/log/messages
  1. 修改保存时间
vi /etc/logrotate.conf
# 将‘rotate 4’改为
rotate 25	#保存25周,即175天
路零星
关注
  • 1
    点赞
  • 12
    收藏
    觉得还不错? 一键收藏
  • 4
    评论
专栏目录
网安等保-主机安测评之Linux服务器Ubuntu-22.04-LTS操作系统安加固制作基线系统脚本分享与实践...
WeiyiGeek 唯一极客IT知识分享
08-25 1834
关注WeiyiGeek每天带你玩转网络安运维、应用开发、物联网IOT学习!0x00 前言简述0x01 加固实践📖 帮助文档🏃 脚本使用0x00 前言简述描述: Ubuntu 22.04 LTS 是Canonical于2022年4月21日发布的操作系统,代号为Jammy Jellyfish(果酱水母), 其采用GNOME电源配置文件和流线型工作空间过渡,提高优化图形驱动程序上的桌面帧速率,使用新的加密算法迁移到OpenSSL v3以提高安性,并且为内存安的系统级编程添加了Rus。.........
等保测评linux常用命令(积累)
qq_47921662的博客
07-06 2254
cat /etc/selinux/config 关于安标记(如果从强制模式(enforcing)、宽容模式(permissive)切换到关闭模式(disabled),或者从关闭模式切换到其他两种模式,则必须重启 Linux 系统才能生效,但是强制模式和宽容模式这两种模式互相切换不用重启 Linux 系统就可以生效。$6 表示SHA-512;tail -n 20 /var/log/wtmp 是一个二进制文件,记录每个用户的登录次数和持续时间等信息,永久记录每个用户登录、注销及 系统的启动、停机的事件。
Ubuntu操作系统等保测评指南
qq_40181198的博客
04-17 2125
Ubuntu操作系统等保测评指南
Ubuntu(乌班图)等保测评手册指南(内附测评所有命令)
weixin_47123940的博客
02-02 7358
Ubuntu默认只能以普通权限账户登录,无法直接登录root账户,所以很多要用到管理员权限的命令加sudo。 这里还得先知道管理员root的密码。 网卡的状态查看 service networking status | 可更换(reload/up/down) 查看Ubuntu版本 cat /etc/issue 找文件 find | grep 1.txt(示例) 查看所有开放的端口 netstat -aptn (tips:使用netstat命令时需先安装 net-tools工具) 看ip ifconfig c
Linux服务器等保测评命令
陈苏漾的IT生涯
10-30 330
ls -al /etc/shadow /etc/passwd /etc/group /etc/xinetd.conf /etc/rc.d/init.d /var/log/messages /var/log/wtmp /var/run/utmp /var/log/message /var/log/secure /var/log/audit/audit.log #查看访问级别。如果3次都检查到客户端不响应,那么就认为ssh已经断开了。}' #查看CPU占用率。
等保测评linux常用命令(积累,聪明人已经收藏了
m0_54853787的博客
04-09 858
Linux教程,Linux从入门到精通。
三级等保测评整改-windows云服务器
m0_46282787的博客
03-21 1630
三级等保测评windows云服务整改策略
2024年最新等保测评linux常用命令(积累)_ubuntu等保测评(1),2024年最新已整理成文档
最新发布
2301_76223496的博客
05-09 349
最近很多小伙伴找我要Linux学习资料,于是我翻箱倒柜,整理了一些优质资源,涵盖视频、电子书、PPT等共享给大家!
等保测评整改碎碎念
shujuliu2009的博客
06-07 287
又是一年等保时,不见通过又见改。 1.服务器、网络设备、安设备的日志部外发至深信服日志审计,服务器日志设置rsyslog,unbuntu和centos一般都有这个程序,但是设置过程填坑不断,配置rsyslog新服务器root还未设置,需要一台台设置。 2.防火墙策略,从any到××,策略顺序不能忘。 3.日志审计应接未接设备不少。 ...
07-等保三级-Ubuntu 16合规基线检查
03-25
07-等保三级-Ubuntu 16合规基线检查
[等保]linux主机检查脚本.sh
10-19
【等保】linux主机检查脚本
等保测评Centos超时退出问题
09-14
等保测评主机测评中需要查询主机的超时退出配置,具体在Centos中的话,主要有两种方式可以实现超时退出的功能。文中给大家详细介绍,感兴趣的朋友跟随小编一起看看吧
linux服务器centos还是ubuntu系统
01-10
服务器操作系统应该选择 Debian/Ubuntu 还是 CentOSCENTOS现在市场占有率第一了 【小议】centosubuntu的区别 CentOS(Community ENTerprise Operating System)是Linux发行版之一,它是来自于Red Hat ...
基于CentOS等保测评整改方案
03-05
基于CentOS等保测评整改方案
等保测评2.0——ubuntu整改命令
weixin_45840241的博客
04-05 635
在so后添加minlen=8 dcredit=-2 ucredit=-1 lcredit=-1 ocredit=-1。sudo vim /etc/pam.d/common-password(设置密码复杂度)(查看命 more /etc/profile.d/autologout.sh)(查看命令 cat /etc/pam.d/common-password)锁定时间次数设置(查看命令cat /etc/pam.d/login)开启防火墙命令 sudo ufw enable。设置锁定账户次数、时间。
等保测评linux常用命令(积累)_ubuntu等保测评(1),2024年最新年薪超过80万
2401_83974345的博客
04-14 358
cat /etc/selinux/config 关于安标记(如果从强制模式(enforcing)、宽容模式(permissive)切换到关闭模式(disabled),或者从关闭模式切换到其他两种模式,则必须重启 Linux 系统才能生效,但是强制模式和宽容模式这两种模式互相切换不用重启 Linux 系统就可以生效。tail -n 20 /var/log/wtmp 是一个二进制文件,记录每个用户的登录次数和持续时间等信息,永久记录每个用户登录、注销及 系统的启动、停机的事件。10是cost的值;
等保(Linux
jzttly的博客
09-21 993
等保
等保测评Linux测评命令
qq_50495562的博客
04-24 8010
等保测评Linux测评命令 1.cat /etc/shadow查看口令,查看账户 2.cat /etc/ssh/ssh_config permitemptypasswords 注释或者后面加no 不允许空口令远程登录 3.cat /etc/pam.d/system-auth 查看密码复杂度 grep pam_cracklib.so模块查看,centos7之后是pam_pwquality.so模块。限制root用户,添加 enforce_for_root 密码复杂度配置详解 4.cat /etc
centos7等保整改文档
08-01
CentOS7等保整改文档是指对CentOS7操作系统进行等保安整改的一份文档。等保是指信息系统按照国家相关标准或规定进行安保护的过程,目的是确保信息系统具备合法合规、安健壮的特性。等保整改文档是根据信息安管理要求和等保评估结果,通过对当前系统进行修复和优化的过程。 CentOS7等保整改文档一般包括以下内容: 1. 引言:对整改文档的目的、背景和范围进行说明。 2. 系统基本配置:包括对操作系统的基本配置要求,如关闭不必要的服务、网络设置、文件系统权限的设置等。 3. 用户权限管理:指定用户和组的权限设置,包括最小权限原则、访问控制的设置等,以保证只有授权用户可以访问系统。 4. 资源安管理:包括对重要资源的安设置,如主机防火墙的配置、安策略的制定等。 5. 日志管理:指定日志记录的原则和要求,包括日志管理的目的、内容和存储方式等,以便进行安事件的追踪和监测。 6. 安审计与检查:定期进行系统漏洞扫描、入侵检测和漏洞修复等工作,确保系统的安性,并记录审计结果。 7. 物理安管理:包括机房入口的防护、机房环境的监控和访问控制等,保障服务器硬件的安。 8. 等保教育与培训:针对系统管理员和用户,进行相关的安教育,提高其信息安意识和技能。 9. 风险防范与预警:对系统可能存在的风险和威胁进行分析和评估,并制定相应的应对预案。 通过CentOS7等保整改文档的实施,可以帮助提升CentOS7系统的安性能,降低信息系统受到攻击的风险,并确保系统能够按照合规要求进行运营。同时,定期对文档进行更新和完善,以适应不断变化的安环境和威胁。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值