等保测评修复
身份鉴别
1.应对登录的用户进行身份标识和鉴别,身份标识具有唯一性,身份鉴别信息具有复杂度要求并定期更换。
备份login.defs
cp /etc/login.defs /etc/login.defs.bf
vi /etc/login.defs
修改一下内容
2. 应具有登录失败处理功能,应配置并启用结束会话、限制非法登录次数和当登录连接超时自动退出等相关措施。
备份sshd
cp /etc/pam.d/sshd /etc/pam.d/sshd.bf
最下面添加
vi /etc/pam.d/sshd
auth required pam_tally2.so onerr=fail deny=5 unlock_time=300 even_deny_root root_unlock_time=300
(释义:设置为密码连续错误5次锁定,锁定时间300秒 root密码连续错误3次锁定,时间为 300秒 )
–————————————————————
root_unlock_time: 表示root用户锁定时间
–————————————————————
unlock_time: 表示普通用户锁定时间
–————————————————————
onerr=fail: 表示连续失败
–————————————————————
deny=5: 表示超过5次登录失败即锁定
–————————————————————
如果不想限制root用户,可以去掉:even_deny_root root_unlock_time=300。
————————————————
版权声明:本文为CSDN博主「YolandeLove」的原创文章,遵循CC 4.0 BY-SA版权协议,转载请附上原文出处链接及本声明。
原文链接:https://blog.csdn.net/weixin_50093343/article/details/117031463
设置登录超时
备份
cp /etc/profile /etc/profile.bf
修改文件
vi /etc/profile
添加下面两个
HISTSIZE=100
TMOUT=600
3.当进行远程管理时,应采取必要措施防止鉴别信息在网络传输过程中被窃听。
备份
cp /etc/ssh/sshd_config /etc/ssh/ssh_config.bf
修改
vi /etc/ssh/sshd_config
将文件中,关于监听端口、监听地址前的 # 号去除
然后开启允许远程登录
最后,开启使用用户名密码来作为连接验证
保存文件,退出
开启 sshd 服务,输入
systemctl restart sshd.service
systemctl restart sshd.service
访问控制
- 三权分立原则进行权限分离,未授予不同帐户为完成各自承担任
地址