修改服务器配置文件/etc/pam.d/system-auth,但是,把一下配置放在password的配置第一行才会生效
-
执行命令:配置口令要求:大小写字母、数字、特殊字符组合、至少8位,包括强制设置root口令!
sed -i '14a password requisite pam_pwquality.so try_first_pass local_users_only retry=3 authtok_type= minlen=8 lcredit=-1 ucredit=-1 dcredit=-1 ocredit=-1 difok=5 enforce_for_root' /etc/pam.d/system-auth
![](https://img-blog.csdnimg.cn/img_convert/710b1275650729b0f055d8fda000d293.png)
-
修改配置/etc/login.defs文件(注:这里文件配置未能进行强制要求,只能做形式使用)
命令:
sed -i 's/PASS_MIN_LEN.*$/PASS_MIN_LEN 8/g' /etc/login.defs
![](https://img-blog.csdnimg.cn/img_convert/6876bea5c94b3e0dfa3d1f082bcbf7bb.png)
配置口令过期策略
-
修改配置/etc/login.defs文件(注:这里修改配置文件仅对后期新建得账户有效,root账户无效)
sed -i 's/PASS_MAX_DAYS.*$/PASS_MAX_DAYS 90/g' /etc/login.defs
![](https://img-blog.csdnimg.cn/img_convert/84b9039c9ffca863983e637c1069940b.png)
-
root账户口令过期方法,可参照:
Linux 正确修改账户的过期时间_pass_max_days 90-CSDN博客
使用的命令:
chage -M 90 root
配置登录失败处理策略
-
修改配置文件:/etc/pam.d/sshd,该配置仅对采用SSH协议登录的方式有效
表示:登录失败5次锁定账户30分钟!
sed -i '1a auth required pam_tally2.so deny=5 unlock_time=1800 even_deny_root root_unlock_time=1800' /etc/pam.d/sshd
![](https://img-blog.csdnimg.cn/img_convert/376042ffd76928cbdae609190f2b415d.png)
-
修改配置文件:/etc/pam.d/system-auth,该配置是对sudo [账户]登录方式有效,
表示:登录失败5次锁定账户30分钟!
sed -i '3a auth required pam_tally2.so deny=5 unlock_time=1800 even_deny_root root_unlock_time=1800' /etc/pam.d/system-auth
![](https://img-blog.csdnimg.cn/img_convert/1e6396fce2d5fd5b5ab1195705684274.png)
-
其实登录失败还需要更改一个文件,但不建议,该文件为限制终端界面的操作登录失败处理策略!实际运维中,均是采用SSH协议、sudo方式进行登录服务器,如修改该配置,出现问题,无法使用操作界面登录服务器!
修改配置文件:/etc/pam.d/login
sed -i '2a auth required pam_tally2.so deny=5 unlock_time=1800 even_deny_root root_unlock_time=1800' /etc/pam.d/login
![](https://img-blog.csdnimg.cn/img_convert/42e72d9d03a4276b97e494f82ce04209.png)
修改日志配置,保证至少六个月存储时间
命令,但这种配置不合理,尽量定期备份,或者搭建日志服务器实时收集日志!(注:备份脚本请参考:等保2.0之Linux系统日志备份_linux审计记录保存180天-CSDN博客)
sed -i 's/rotate.*$/rotate 30/g' /etc/logrotate.conf
![](https://img-blog.csdnimg.cn/img_convert/2fd7349aa2d9e56bbe7d502495c14819.png)
修改敏感信息泄露与登录超时自动退出策略
-
修改敏感信息泄露
sed -i 's/HISTSIZE=.*$/HISTSIZE=0/g' /etc/profile
![](https://img-blog.csdnimg.cn/img_convert/013dd4f7d5447a5c2b260d23f40d044f.png)
-
登录超时10分钟无操作自动退出
echo "export TMOUT=600" >> /etc/profile
![](https://img-blog.csdnimg.cn/img_convert/36b81d90c7208d7db90e593f07631fc4.png)
-
更新/etc/profile文件,才会生效
source /etc/profile
权限分配:可以新建两个账户,无强制固定权限说法
echo "Aa1@#3456789qazwsx"|passwd --stdin audit
echo "Aa1@#78903456qazwsx"|passwd --stdin operater
博主微信(微信号:CSmile_H):
从事该等保测评行业、密码测评、信息安全、网络安全、数据安全、系统开发、程序员(包括大学生课设资源,本人毕业时保留了大量的资源)工作的,本人有很多各类的资源体系、运维工具,核查工具等,并可资源帮助(私我可免费领取),主打就是给你们省钱、避坑。可以加我微信,然后我拉进群。