等保测评修复

已于 2023-03-13 14:32:13 修改
阅读量124 收藏
点赞数
文章标签: ssh 运维 linux
于 2023-02-24 18:37:01 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zhentia/article/details/129205383
版权

等保测评修复

身份鉴别

1.应对登录的用户进行身份标识和鉴别,身份标识具有唯一性,身份鉴别信息具有复杂度要求并定期更换。

备份login.defs

cp  /etc/login.defs   /etc/login.defs.bf
vi   /etc/login.defs

修改一下内容
在这里插入图片描述

2.	应具有登录失败处理功能,应配置并启用结束会话、限制非法登录次数和当登录连接超时自动退出等相关措施。

备份sshd

cp /etc/pam.d/sshd /etc/pam.d/sshd.bf

最下面添加

vi  /etc/pam.d/sshd
auth required pam_tally2.so onerr=fail deny=5 unlock_time=300 even_deny_root root_unlock_time=300

(释义:设置为密码连续错误5次锁定,锁定时间300秒 root密码连续错误3次锁定,时间为 300秒 )
–————————————————————
root_unlock_time: 表示root用户锁定时间
–————————————————————
unlock_time: 表示普通用户锁定时间
–————————————————————
onerr=fail: 表示连续失败
–————————————————————
deny=5: 表示超过5次登录失败即锁定
–————————————————————
如果不想限制root用户,可以去掉:even_deny_root root_unlock_time=300。
————————————————
版权声明:本文为CSDN博主「YolandeLove」的原创文章,遵循CC 4.0 BY-SA版权协议,转载请附上原文出处链接及本声明。
原文链接:https://blog.csdn.net/weixin_50093343/article/details/117031463
设置登录超时
备份

cp /etc/profile /etc/profile.bf

修改文件
在这里插入图片描述

vi /etc/profile

添加下面两个

HISTSIZE=100
TMOUT=600

3.当进行远程管理时,应采取必要措施防止鉴别信息在网络传输过程中被窃听。

备份

cp /etc/ssh/sshd_config /etc/ssh/ssh_config.bf

修改

vi /etc/ssh/sshd_config

将文件中,关于监听端口、监听地址前的 # 号去除

在这里插入图片描述

然后开启允许远程登录

在这里插入图片描述

最后,开启使用用户名密码来作为连接验证

在这里插入图片描述

保存文件,退出
开启 sshd 服务,输入

systemctl restart sshd.service
systemctl restart sshd.service

访问控制

  1. 三权分立原则进行权限分离,未授予不同帐户为完成各自承担任
    地址
twoYearsOld
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
windows 远程 登录无操作30分钟后自动退出登录_等级保护2.0之操作超时
weixin_39751871的博客
12-08 8888
一、说明最近在对比等级保护1.0和2.0的不同之处时,产生了些须疑惑:就是到底还要不要测操作超时(主机、应用层面)?二、操作超时操作超时在1.0中是资源控制这个控制点中的一个测评项,它的内容如下:应根据安全策略设置登录终端的操作超时锁定。内容比较好理解,长时间不进行操作的话,就断开终端与服务器的连接。无论在等级测评师培训教材(初级)还是在1.0的测评要求中,明确的表达了这个意思:三、资源...
等级保护2.0基础要求 具体测评方法
Mercure's Home
11-11 3845
安全咨询, 等级保护2.0(三级) 测评方法
关于等保2.0要求配置的身份鉴别(口令长度、复杂度、有效期)(口令登录失败、锁定多长时间)
学无止境
12-08 6317
1、针对全部的登陆用户做限制,需要在全局配置密码策略: [H3C]password-control enable //开启密码策略 [H3C]password-control aging enable //开启密码有效期的策略 [H3C]password-control aging 90 //配置密码有效的时间为90天 [H3C]password-control length enable //开启密码长度的限制 [H3C]password-control length 16 // 配置密码长度最小为16位
安全等保漏洞修复之OpenSSH漏洞修复
weixin_43548686的博客
12-25 1581
在做等保的时候,必不可少的一个环节就是漏洞扫描,其中漏洞最多的是OpenSSH相关的 一般我们只需关心紧急和高危的漏洞 先看下ssh的版本, ssh -V 我们公司用的模版是centos6.6的,版本是OpenSSH_5.3p1 OpenSSH_5.3p1, OpenSSL 1.0.1e-fips 11 Feb 2013 测评的公司给我们扫出5个高危,9个中危 升级到 openssh-7.7p1...
等保测评方案.docx
09-01
5. **软硬件清单**:等保二级和三级的软硬件清单提供了参考,以满足不同等级的防护需求,包括防火墙、入侵检测系统、身份认证设备等。 6. **项目管控** - **项目组织管理**:设立专门的项目团队,明确职责分工,...
等保测评2.0测评表(通用要求)
11-27
等保测评2.0,全称为“网络安全等级保护2.0”,是中国网络安全等级保护制度的最新版本,旨在强化网络和信息系统的信息安全管理。该测评体系于2019年12月正式实施,对各类信息系统提供了更为细致且全面的安全规范。等...
等保测评-风险评估-信息安全管理制度汇编
11-17
等保测评与风险评估】 等保测评,全称为网络安全等级保护测评,是中国网络安全法规中的一个重要环节,旨在确保各类信息系统的安全性和稳定性。这一过程包括对信息系统进行风险评估,以识别、评估、控制和减轻可能...
信息安全管理制度(等保测评必备)
10-08
《信息安全管理制度——等保测评的关键要素》 在信息化社会中,信息安全已经成为企业乃至整个社会的生命线。等保测评,即信息安全等级保护测评,是国家对于信息系统安全的一种强制性要求,旨在确保信息系统的安全性...
等保 级问题清单 修复.pdf
07-12
本文将详细解析等保二级测评中涉及的操作系统和数据库系统的安全管理问题及修复方法。 **1. 用户身份标识与口令管理** 在等保二级中,用户身份标识应具有防冒用特点,口令需要有复杂度要求并定期更换。对于Centos...
使用易备数据备份软件,践行虚拟机最佳备份方案
sanyuan7783的博客
07-26 558
新的关键业务应用程序有助于为容器和容器化工作负载赋予更大动力。但是,在可预见的未来,虚拟机的应用仍会普遍存在。容器和虚拟机可以很好地协同工作,适用于大多数关键的 IT 基础设施。因此,备份虚拟机及其包含的数据、服务和应用程序仍然是企业至关重要的任务。本文以 VMware vSphere 虚拟机为例,介绍虚拟机备份的最佳实践方法。
AccessLog| 一款开源的日志分析系统
ClkLog的博客
07-26 367
系统采用Java语言、搭配OLAP数据库,涵盖基本web日志分析,同时提供性能分析,帮助高效运维
DNS反向解析、多域名解析、时间服务器相关配置
qq_74793290的博客
07-24 462
DNS反向解析、多域名解析、时间服务器
Linux 普通用户启动Nginx使用80端口,小于1024的端口
最新发布
y393016244的博客
07-26 95
在root用户下执行。
k8s学习--k8s集群部署kubesphere的详细过程
lwxvgdv的博客
07-26 955
KubeSphere 是在 Kubernetes 之上构建的面向云原生应用的分布式操作系统,完全开源,支持多云与多集群管理,提供全栈的 IT 自动化运维能力,简化企业的 DevOps 工作流。它的架构可以非常方便地使第三方应用与云原生生态组件进行即插即用 (plug-and-play) 的集成。作为全栈的多租户容器平台,KubeSphere 提供了运维友好的向导式操作界面,帮助企业快速构建一个强大和功能丰富的容器云平台。
续DNS服务(逆向解析、多域名、时间服务、主从DNS服务)
qq_69920145的博客
07-24 733
DNS 逆向解析(Reverse DNS Lookup)是通过 IP 地址来查找对应的域名。通常情况下,我们通过域名来获取对应的 IP 地址,这被称为正向解析。而逆向解析则是反过来,根据已知的 IP 地址获取其对应的域名。然而,逆向解析的配置和维护相对复杂,并且不是所有的 IP 地址都有对应的有效的逆向解析记录。
gitee设置ssh公钥密码避免频繁密码验证
xu.hyj
07-23 368
公钥则可以解决该问题,将私钥放在本地,公钥放在gitee上,当对项目进行操作时带有的私钥会在gitee和公钥进行验证,避免了手动输入密码的过程。gitee中可以创建私有项目,但是在clone或者push都需要输入密码, 比较繁琐。
docker网络模式及配置
beck_li的博客
07-24 785
一、Docker网络模式 1 1、host模式 1 2、container模式 1 3、none模式 2 4、bridge模式 2 二、Docker网络配置–设置固定IP 2 1、host宿主机下载pipework如下: 2 2、安装网桥工具包bridge-utils 2 3、创建网桥并设置IP网段 2 4、启动一个容器 2 5、设置IP 2 6、网桥管理 2 7、docker版本1.9以后可使用下面这种方式: 3 7.1创建自定义网络 3 7.2启动Docker容器 3 7.3确认自建网络的容器 3
通过Docker安装KingbaseES V8并激活开发License
weimeilayer的博客
07-24 166
首先,我们可以去KingbaseES的官网(https://www.kingbase.com.cn/xzzx/index.htm ,在软件版本中,注意下载的镜像为x86版本)下载docker镜像,下载完成后导入即可。简单介绍一下在Docker中安装人大金仓(KingbaseES V9)的过程,以及如何更换默认的License为官方提供的365天有效期的开发License。下面的安装过程都是在WSL2中完成的。我们可以通过下面的命令从宿主来直接查看KingbaseES的版本。启动容器,可以直接下面的脚本。
等保二级测评:问题清单与修复措施详解
该文档主要关注的是网络安全...这份文档提供了一套实用的解决方案,帮助企业或组织在面临等保二级测评时,对存在的问题进行排查和修复,从而提升网络安全水平。阅读和实施这些修复措施是确保网络环境合规的关键步骤。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值