centos 等保三级_linux-centos7 基于等保3的系统安全体系

最新推荐文章于 2024-07-31 09:30:00 发布
最新推荐文章于 2024-07-31 09:30:00 发布
阅读量862 收藏 6
点赞数 1
文章标签: centos 等保三级
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_39595302/article/details/112997927
版权
本文详细介绍了如何在CentOS 7系统上根据等保三级的要求配置SSH服务,包括访问控制、加密算法、密码验证和空闲超时设置。此外,还探讨了Linux-PAM(Linux可插入认证模块)的配置,如用户认证、密码强度管理和会话管理,以增强系统安全性。
摘要由CSDN通过智能技术生成

sshd配置

配置文件:/etc/ssh/sshd_config

Note: 更改ssh相关配置后需要重启sshd服务 systemctl restart sshd

ssh访问控制

AllowUsers

AllowGroups

DenyUsers

DenyGroups

配置加密算法

Ciphers aes256-ctr,aes192-ctr,aes128-ctr # 使用已批准的加密类型

MACs hmac-sha2-512,hmac-sha2-256 # 使用已批准的Mac算法

密码验证

PermitEmptyPasswords no # 禁止无密码访问服务器

PermitRootLogin yes # 是否禁止使用root登录(为方便管理,暂未收回权限)

如果禁用root需要创建一个超级管理员。

openssh主机认证

HostbasedAuthentication no

限制用户认证次数

MaxAuthTries 4 # 等保三要求该值小于等于 4

ssh空闲超时

ClientAliveInterval 300 # 小于等于300s

ClientAliveCountMax 3 # 存活用户数小于等于3

用户认证及密码强度管理(pam)

pam 简介

Linux-PAM(linux可插入认证模块)是一套共享库,使本地系统管理员可以随意选择程序的认证方式.。换句话说,不用(重新编写)重新编译一个包含PAM功能的应用程序,就可以改变它使用的认证机制。这种方式下,就算升级本地认证机制,也不用修改程序。

PAM使用配置 /etc/pam.d/ 下的文件,来管理对程序的认证方式。应用程序调用相应的配置文件,从而调用本地的认证模块。模块放置在 /lib/security 下,以加载动态库的形式进,像我们使用su命令时,系统会提示你输入root用户的密码,这就是su命令通过调用PAM模块实现的。

pam 配置文件介绍

PAM配置文件有两种写法:

一种是写在 /etc/pam.conf 文件中,但centos6之后的系统中,这个文件就没有了。

另一种写法是,将PAM配置文件放到 /etc/pam.d/ 目录下,其规则内容都是不包含 service 部分的,即不包含服务名称,而 /etc/pam.d 目录下文件的名字就是服务名称。如: vsftpd,login等。

配置文件示例:

20181119154261048337715.png

由上图可以将配置文件内容划分为四列:

第一列:代表模块类型

第二列:代表控制标记

第三列:代表模块路径

第四列:代表模块参数

pam 模块类型

Linux-PAM有四种模块类型,分别代表四种不同的任务,它们是:

认证管理(auth)

账号管理(account)

会话管理(session)

密码(password)管理</

最低0.47元/天 解锁文章
weixin_39595302
关注
  • 1
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Linux7(CentOS7等保三级加固的一些说明
xmtemp9的博客
08-25 750
这些步骤提供了一些基本的加固措施,但请注意,具体的加固步骤可能因组织的具体需求和规定而有所不同。安装和配置入侵检测系统(IDS):通过安装和配置IDS,及时检测系统中的异常活动和入侵行为,并采取相应的措施。定期安全扫描和漏洞评估:定期进行安全扫描和漏洞评估,及时发现系统中的安全漏洞,并采取相应的修复措施。定期审查用户账户:定期审查系统上的用户账户,删除不再需要的用户账户,并确保每个用户都具有适当的权限。定期备份和恢复:定期备份系统和数据,确保备份数据存储在安全的位置,并测试恢复过程以确保备份的可用性。
centos 等保三级_等保测评主机安全:CentOS访问控制
weixin_39938875的博客
12-21 509
一、说明权限控制在等保测评里说了要求,但是怎么落地却基本没写,怎么说呢,比较抽象。所以,我觉得还是有必要了解一下centos系统大概有什么方法可以实现对用户的权限控制,不至于测评的时候完全不知道怎么测。这里我把我现在知道的关于权限控制的方法都列举出来,供大家参考参考。另外,我使用的是centos6。二、查看无论针对什么权限,以下三个文件至少需要查看的:/etc/passwd/etc/shadw...
网络安全等级保护测评——主机安全(三级)详解
最新发布
ZL_1618的博客
07-31 802
最近去了项目组打杂,偷学了些对服务器做整改的等保要求,写下一篇废话,看完了就可以跟我一起打杂了。
CentOS等保三级安全加固方案
weixin_38543360的博客
03-18 5224
vim /etc/login.defs #修改密码策略 PASS_MAX_DAYS 90 #密码最大有效期90天 PASS_MIN_DAYS 2 #两次修改密码的最小间隔时间2天 PASS_MIN_LEN 8 #密码最小长度8个字符,对于root无效 PASS_WARN_AGE 7 #密码过期前多少天开始提示 vim /etc/security/pwquality.conf #密码复杂度配置 minlen = 8 #定义用户密码的最小长度 minclass =...
centos 等保三级_centos创建交换分区
weixin_39905037的博客
12-21 62
云服务器默认没有交换分区,如下所示:[root@myhost ~]# free -mtotal used free shared buff/cache availableMem: 1839 694 77 0 1068 949Swap: ...
有了这个网络安全面试题,面试就像开了挂!(附PDF)
lvaolan的博客
02-26 824
还有兄弟不知道网络安全面试可以提前刷题吗?费时一周整理的160+网络安全面试题,金九银十,做网络安全面试里的显眼包!王岚嵚工程师面试题(附答案),只能帮兄弟们到这儿了!如果你能答对70%,找一个安全工作,问题不大。对于有1-3年工作经验,想要跳槽的朋友来说,也是很好的温习资料!【完整版领取方式在文末!!​​​​内容实在太多,不一一截图了。
CentOS-7-x86_64-Minimal-1708.zip
07-31
标题中的"CentOS-7-x86_64-Minimal-1708.zip"表明这是一款基于x86_64架构的轻量级Linux发行版——CentOS 7的最小化安装镜像。CentOS是Community ENTerprise Operating System的缩写,它是一个开源、免费的操作系统,...
CentOS-7.2-x86_64-Minimal-1511.zip
06-21
1. **CentOS**: CentOS 是一个基于社区的 Linux 发行版,其目标是提供一个稳定、安全且免费的企业级操作系统。它与 RHEL 具有高度兼容性,但不包括 RHEL 的商业支持。 2. **x86_64**: 这是 CPU 架构的标识,表示该...
系统-等保三级-CentOS Linux 7合规基线检查 shell脚本
swindy博客
07-21 1768
系统-等保三级-CentOS Linux 7合规基线检查 shell脚本
基于S3A3G3三级等保标准的Linux系统主机安全加固.pdf
09-06
"基于S3A3G3三级等保标准的Linux系统主机安全加固" ...本文提出了一种基于S3A3G3三级等保标准的Linux系统主机安全加固方案,可以帮助高校信息化建设,提高信息系统安全防护能力,防御黑客攻击和利用。
等保3级服务器安全配置规范.rar
09-04
Apache安全配置规范v1.0IIS服务安全配置规范v1.0Linux安全配置规范v1.0
等级保护2.0三级-Linux测评指导书V1.0.pdf
09-11
等级保护2.0三级linux测评指导书。应对登录的用户进行身份标识和鉴别,身份标识具有唯一性,身份鉴别信息 具有复杂度要求并定期更换; 测评方法: 1) 使用 root 权限的账户登录操作系统后, 使用命令 more查看/etc/shadow 文 件,核查第二列是否为空,为空即存在空口令账户 2) 使用命令 more 查看/etc/login. defs 文件,查看是否设置密码长度和定 期更换要求,使用命令 more查看/etc/pam.d/system-auth 文件。查看密码长 度和复杂度要求,记录 PASS MAX_DAYS 、PASS MIN_DAYS 、PASS MIN_LEN 、
[等保]linux主机检查脚本.sh
10-19
等保linux主机检查脚本
linux系统检查脚本
10-27
下载执行脚本后,可查生成log记录,查看linux服务器的CPU、内存、磁盘等各项服务情况,很全面
等保三级基线要求判分标准(新2.0).xlsx
06-21
等保2.0 三级测评技术要求,《等保三级基线要求判分标准(新2.0)》
linux安全加固-三级等保(一)
天道酬勤
06-21 1426
linux安全加固
centos 等保三级_centos7 等保三级
weixin_39863161的博客
12-21 422
最近公司做了一次等保3测评,发现很多不符合现在记录以下修改的配置文件已备下次使用修改密码策略文件vim /etc/login.defs将以下修改PASS_MAX_DAYS90PASS_MIN_DAYS2PASS_MIN_LEN8PASS_WARN_AGE7修改root密码chage -M 90 rootchage -m 2 rootchage -W 7 rootchage -M...
centos 等保三级_等保三级,您还差哪些?
weixin_39800971的博客
12-21 176
类别等级保护安全需求宁盾等级保护安全建设方案网络设备防护应对登录网络设备的用户进行身份鉴别(G2)网络设备动态口令加固方案:1、增强用户身份的唯一性;2、只允许权限内用户登录;3、在账号密码的基础上增加动态口令进行安全加固;4、动态口令每隔30/60s变化一次,不可追溯;5、限制登录次数及非法登录告警;6、基于角色的访问控制管理;7、认证登录审计;8、其他。应对网络设备的管理员登录地址进行限制。(...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值