0x00. 写在前面的话
这是继上一篇:安全合规建设 | 等保视角下的SSH加固之旅 后有关等保建设的最新一篇分享,本文主要涉及CentOS 主机安全加固部分实践,参考《等保三级 linux主机安全配置要求》的要求,本文共计涉及,账户密码复杂度、有效期的加固配置、账户登陆失败处置、登陆超时配置3个方面的内容,详文如下。
0x01. 主机加固实践之旅
1、账户密码复杂度、有效期 的加固配置
1.1 密码复杂度的加固
1)适用场景
根据等保相关要求,在使用passwd、chpasswd、gpasswd等命令修改用户密码或这组密码的时候需要对设定设置的密码有一定的复杂度要求,类似下图这样(必须包含一个数字、大小写字母、特殊字符等):
2)如何配置实现
需要从两个方面进行配置
I、配置login.defs
对于设置密码复杂度这个需求,login.defs这个配置文件能做的就是设置密码最小长度
PASS_MIN_LEN 12
对于CentOS 系统来说,login.defs 仅仅对于shadow-utils 软件套件内的命令起作用,这些命令没有涉及到PAM机制,正如其文档注释中提到的那样:
shadow-utils 包含以下命令:
对于passwd这种不在shadow-utils 软件套件中内且涉及到PAM机制的命令则需要II中的配置应对
II、配置pam模块
passwd 命令对应的pam 模块配置文件