前言
公司最近在做等保三级测评,其中涉及网络交换机设置,服务器硬件情况,以及基础系统管理等方面。
恰好,我负责基础系统管理方面,便对此进行实战记录。
一、登录口令整改
要求:密码长度必须在8位以上。
操作:
首先查看当前的活动用户信息。
cat /etc/shadow
结果如下:
查看当前的密码设置规则(解释Linux对应的密码策略模块有:pam_passwdqc 和 pam_pwquality 。其中pam_passwdqc模块对应的是/etc/login.defs,pam_pwquality对应的是/etc/security/pwquality.conf)
cat /etc/security/pwquality.conf
结果如下
重要参数解释:
retry=N:定义登录/修改密码失败时,可以重试的次数;
Difok=N:定义新密码中必须有几个字符要与旧密码不同。但是如果新密码中有1/2以上的字符与旧密码不同时,该新密码将被接受;
minlen=N:定义用户密码的最小长度;
dcredit=N:定义用户密码中必须包含多少个数字;
ucredit=N:定义用户密码中必须包含多少个大写字母;
lcredit=N:定义用户密码中必须包含多少个小些字母;
ocredit=N:定义用户密码中必须包含多少个特殊字符(除数字、字母之外);
其中 =-1表示,至少有一个。
按照要求修改保存。
修改后,如下图:
测试如下图:创建了一个sysadmin用户 设置密码为12345678 提示密码里必须有一个小写字母。
二、密码90天内更换
1、查看用户sysadmin的密码设置信息。
chage -l sysadmin
结果如下:
从上图来看,明显不符合三级等保要求。
chage 参数如下:
-d 指定密码最后修改日期
-E 密码到期的日期,过了这天,此账号将不可用。0表示马上过期,-1表示永不过期。
-h 显示帮助信息并退出
-I 密码过期后,锁定账号的天数
-l 列出用户以及密码的有效期
-m 密码可以更改的最小天数。为零代表任何时候都可以更改密码。
-M 密码保持有效的最大天数。
-W 密码过期前,提前收到警告信息的天数。
修改操作:sysadmin账户的密码有效期是90天,修改后,3天之内不能再次修改,密码失效提前15天提示。
chage -M 90 -m 3 -W 15 sysadmin
修改后,效果:
三、登录失败3次锁定10秒钟
设置登录:
vi /etc/pam.d/login
添加内容:
auth required pam_tally2.so deny=3 lock_time=300 even_deny_root root_unlock_time=10
解释:
even_deny_root 也限制root用户;
deny 设置普通用户和root用户连续错误登陆的最大次数,超过最大次数,则锁定该用户
unlock_time 设定普通用户锁定后,多少时间后解锁,单位是秒;
root_unlock_time 设定root用户锁定后,多少时间后解锁,单位是秒;
设置ssh登录:
在/etc/pam.d/sshd内添加:
auth required pam_tally2.so deny=3 lock_time=300 even_deny_root root_unlock_time=10
然后重启ssh的服务
systemctl restart sshd
四、系统超时多长时间退出登录
检查/etc/profile文件中有无TMOUT环境变量设置。 例如:export TMOUT=600,其中600表示超过600秒无操作即断开连接
vi /etc/profile
刷新profile
source /etc/profile
五、三权分立
系统管理员账户,安全管理员账户,审计管理员账户(只能读,不能写),不同账户负责不同功能。
创建用户
adduser sysadmin
设置密码
passwd sysadmin
赋权,赋予读写权限
chmod -v u+w /home/sysadmin
收回写的权限
chmod -v u-w /home/sysadmin
六、系统日志保存180天
日志保存180天以上 系统日志 定期导出 截图
显示所有日志
journalctl
系统日志的保存目录一般在
cd /var/log
主要的几个日志如下
1、/var/log/boot.log(自检过程)
2、/var/log/cron (crontab守护进程crond所派生的子进程的动作)
3、/var/log/maillog (发送到系统或从系统发出的电子邮件的活动)
4、/var/log/syslog (它只记录警告信息,常常是系统出问题的信息,所以更应该关注该文件)
5、/usr/local/apache/logs/error_log(它是记录apache的日志目录)
6、/var/run/utmp 该日志文件需要使用lastlog命令查看
7、/var/log/wtmp (该日志文件永久记录每个用户登录、注销及系统的启动、停机的事件)last命令就通过访问这个文件获得这些信息
8、/var/run/utmp (该日志文件记录有关当前登录的每个用户的信息)
9、/var/log/xferlog (该日志文件记录FTP会话,可以显示出用户向FTP服务器或从服务器拷贝了什么文件)
七、服务器备份
如果你所建的虚拟机是vcenter集群上的,就采用克隆,或者快照的方式备份(建议留存快照最多不要超过3个)
如果有专门的备份设备,例如爱数备份一体机等,就用该设备。
Last modification:October 19, 2022
© Allow specification reprint