0


Linux服务器(CentOS7)基础信息设置之满足等保三级测评要求

前言

公司最近在做等保三级测评,其中涉及网络交换机设置,服务器硬件情况,以及基础系统管理等方面。

恰好,我负责基础系统管理方面,便对此进行实战记录。

一、登录口令整改

要求:密码长度必须在8位以上。

操作:

首先查看当前的活动用户信息。

cat /etc/shadow

结果如下:

查看当前的密码设置规则(解释Linux对应的密码策略模块有:pam_passwdqc 和 pam_pwquality 。其中pam_passwdqc模块对应的是/etc/login.defs,pam_pwquality对应的是/etc/security/pwquality.conf)

cat /etc/security/pwquality.conf

结果如下

重要参数解释:

retry=N:定义登录/修改密码失败时,可以重试的次数;

Difok=N:定义新密码中必须有几个字符要与旧密码不同。但是如果新密码中有1/2以上的字符与旧密码不同时,该新密码将被接受;

minlen=N:定义用户密码的最小长度;

dcredit=N:定义用户密码中必须包含多少个数字;

ucredit=N:定义用户密码中必须包含多少个大写字母;

lcredit=N:定义用户密码中必须包含多少个小些字母;

ocredit=N:定义用户密码中必须包含多少个特殊字符(除数字、字母之外);

其中 =-1表示,至少有一个。
按照要求修改保存。

修改后,如下图:

测试如下图:创建了一个sysadmin用户 设置密码为12345678 提示密码里必须有一个小写字母。

二、密码90天内更换

1、查看用户sysadmin的密码设置信息。

 chage -l sysadmin

结果如下:

从上图来看,明显不符合三级等保要求。

chage 参数如下:

-d 指定密码最后修改日期

-E 密码到期的日期,过了这天,此账号将不可用。0表示马上过期,-1表示永不过期。

-h 显示帮助信息并退出

-I 密码过期后,锁定账号的天数

-l 列出用户以及密码的有效期

-m 密码可以更改的最小天数。为零代表任何时候都可以更改密码。

-M 密码保持有效的最大天数。

-W 密码过期前,提前收到警告信息的天数。

修改操作:sysadmin账户的密码有效期是90天,修改后,3天之内不能再次修改,密码失效提前15天提示。

chage -M 90 -m 3 -W 15 sysadmin

修改后,效果:

三、登录失败3次锁定10秒钟

设置登录:

vi /etc/pam.d/login

添加内容:

auth required pam_tally2.so deny=3 lock_time=300 even_deny_root root_unlock_time=10
解释:

even_deny_root 也限制root用户;

deny 设置普通用户和root用户连续错误登陆的最大次数,超过最大次数,则锁定该用户

unlock_time 设定普通用户锁定后,多少时间后解锁,单位是秒;

root_unlock_time 设定root用户锁定后,多少时间后解锁,单位是秒;

设置ssh登录:

在/etc/pam.d/sshd内添加:

auth required pam_tally2.so deny=3 lock_time=300 even_deny_root root_unlock_time=10

然后重启ssh的服务

systemctl restart sshd

四、系统超时多长时间退出登录

检查/etc/profile文件中有无TMOUT环境变量设置。 例如:export TMOUT=600,其中600表示超过600秒无操作即断开连接

vi /etc/profile

刷新profile

source /etc/profile

五、三权分立

系统管理员账户,安全管理员账户,审计管理员账户(只能读,不能写),不同账户负责不同功能。

创建用户

adduser sysadmin

设置密码

passwd sysadmin

赋权,赋予读写权限


chmod -v u+w /home/sysadmin

收回写的权限

chmod -v u-w /home/sysadmin

六、系统日志保存180天

日志保存180天以上 系统日志 定期导出 截图

显示所有日志

journalctl

系统日志的保存目录一般在

cd /var/log

主要的几个日志如下

1、/var/log/boot.log(自检过程)
2、/var/log/cron (crontab守护进程crond所派生的子进程的动作)
3、/var/log/maillog (发送到系统或从系统发出的电子邮件的活动)
4、/var/log/syslog (它只记录警告信息,常常是系统出问题的信息,所以更应该关注该文件)
5、/usr/local/apache/logs/error_log(它是记录apache的日志目录)
6、/var/run/utmp 该日志文件需要使用lastlog命令查看
7、/var/log/wtmp (该日志文件永久记录每个用户登录、注销及系统的启动、停机的事件)last命令就通过访问这个文件获得这些信息
8、/var/run/utmp (该日志文件记录有关当前登录的每个用户的信息)
9、/var/log/xferlog (该日志文件记录FTP会话,可以显示出用户向FTP服务器或从服务器拷贝了什么文件)

七、服务器备份

如果你所建的虚拟机是vcenter集群上的,就采用克隆,或者快照的方式备份(建议留存快照最多不要超过3个)

如果有专门的备份设备,例如爱数备份一体机等,就用该设备。


本文转载自: https://blog.csdn.net/kou869929526/article/details/124835927
版权归原作者 金龙鱼先生 所有, 如有侵权,请联系我们删除。

“Linux服务器(CentOS7)基础信息设置之满足等保三级测评要求”的评论:

还没有评论