# 1、开启密码复杂度和定期更换策略:(8位以上的大小写字母、数字和特殊字符,90天以内定期更换)
vim /etc/login.defs
# 设置如下内容
PASS_MAX_DAYS 90
PASS_MIN_DAYS 0
PASS_MIN_LEN 8
PASS_WARN_AGE 7
vim /etc/pam.d/system-auth
# 设置如下内容
password requisite pam_cracklib.so minlen=8 ucredit=-1 lcredit=-1 dcredit=-1 ocredit=-1
# 2、开启定期登录失败和登录超时退出策略
vim /etc/pam.d/sshd
# 设置如下内容(登录5次锁定600)
auth required pam_tally2.so deny=5 unlock_time=600 even_deny_root root_unlock_time=600
vim /etc/profile
# 增加配置
TMOUT=600
# 配置立即生效
source /etc/profile
设置安全审计:
添加审计规则
# 监视/etc/passwd文件被写、修改文件属性的操作,并记录
auditctl -w /etc/passwd -p wa
# 监视/etc/sudoers文件被写、修改文件属性的操作,并记录
auditctl -w /etc/sudoers -p wa
# 监视/var/log/secur 文件被写、修改文件属性的操作,并记录
auditctl -w /var/log/secure -p wa
# 监视/var/lib/mysql 文件被写、修改文件属性的操作,并记录
auditctl -w /var/lib/mysql -p wa
审计audit使用总结:
#查看审计规则
auditctl -l
#添加审计规则
#-w path : 指定要监控的路径,上面的命令指定了监控的文件路径 /etc/passwd
#-p : 指定触发审计的文件/目录的访问权限
#-k 给当前这条监控规则起个名字,方便搜索过滤
#rwxa : 指定的触发条件,r 读取权限,w 写入权限,x 执行权限,a 属性(attr)
#查看审计日志
ausearch -f /etc/passwd
#生成简要报告
aureport
注意:用 auditd 添加审计规则是临时的,立即生效,但是系统重启失效。重启仍然有效,需要在 /etc/audit/audit.rules 文件中添加规则,然后重启服务:
service auditd restart 或者 service auditd reload