linux服务器用户密码安全
1.密码复杂度配置
修改文件位置:/etc/pam.d/system-auth-ac 文件
旧内容 password requisite pam_pwquality.so try_first_pass local_users_only retry=3 authtok_type=
新内容 password requisite pam_pwquality.so try_first_pass local_users_only retry=3 authtok_type= minlen=10 lcredit=-1 ucredit=-1 dcredit=-1 ocredit=-1 enforce_for_root
参数解释:
minlen=10 密码最小长度为8个字符。
lcredit=-1 密码应包含的小写字母的至少一个
ucredit=-1 密码应包含的大写字母至少一个
dcredit=-1 将密码包含的数字至少为一个
ocredit=-1 设置其他符号的最小数量,例如@,#、! $%等,至少要有一个
enforce_for_root 确保即使是root用户设置密码,也应强制执行复杂性策略。
查询密码复杂度策略
cat /etc/pam.d/system-auth | grep -E ‘pam_cracklib|pam_pwquality’ | grep -v ‘#’
2.密码策略配置
修改文件位置:/etc/login.defs
旧内容:
——PASS_MAX_DAYS 99999(密码的最大有效期)
——PASS_MIN_DAYS 0(密码使用天数,下次需要修改密码)
——PASS_MIN_LEN 8(密码最小长度)
——PASS_WARN_AGE 7(密码失效前多少天在用户登录时通知用户修改密码)
新内容:
PASS_MAX_DAYS 90 密码有效期 90天
PASS_MIN_DAYS 1 密码必须使用一天后,才可以重新修改密码(避免频繁修改密码)
PASS_MIN_LEN 10 密码最小长度为10位
PASS_WARN_AGE 7
查询密码策略
cat /etc/login.defs | grep PASS | grep -v ‘#’
3.配置ssh客户端超时不操作 自动退出
修改文件位置 /etc/profile
新内容末尾加入以下配置:
#3600秒无操作自动退出登录
export TMOUT=3600
#将值设置为readonly 防止用户更改,在shell中无法修改TMOUT
readonly TMOUT
4.配置ssh 服务端给客户端发送心跳包
修改文件位置: /etc/ssh/sshd_config
旧内容(默认注释掉的):
#ClientAliveInterval 0
#ClientAliveCountMax 3
新内容:
ClientAliveInterval 60 server每60秒给ssh客户端发送心跳包,客户端没响应则断开
ClientAliveCountMax 60 超时次数(允许最大60次超时)
5.登录失败锁定
修改文件位置:/etc/pam.d/system-auth-ac 文件
新内容:添加
auth required pam_tally2.so onerr=fail deny=3 unlock_time=300
账号密码 登录失败锁定
在 /etc/pam.d/login 文件中添加以下行:
auth required pam_tally2.so deny=3 unlock_time=300
SSh登录失败锁定
/etc/pam.d/sshd 文件来与 sshd 服务一起使用上述配置。在该文件中,添加以下行:
auth required pam_tally2.so deny=3 unlock_time=300
6.是否禁止root用户远程登录(无法实现):
/etc/ssh/sshd_config
查看PermitRootLogin yes是否注释
7.服务日志备份
Linux 系统日志一般存放在 /var/log 下面
查看日志服务是否开启(系统日志需要做备份)
systemctl status rsyslog.service 或者 ps aux | grep “rsyslog” | grep -v “grep”
查看日志服务是否开机启动
systemctl list-unit-files | grep rsyslog
8.数据库日志备份(nginx,tomcat,服务器系统日志,等按三级等保要求全部需要部分,如服务器脚本定时备份,保存三个月等)
查看mysql数据库日志是否开启(记录增删改查日志,默认不开启)
show variables like ‘%general%’;
开启日志
set global general_log=ON;
– 查看慢查询是否开启
show variables like ‘%slow_query_log%’;
– 查看错误日志是否开启
show variables like ‘log_error%’;
– 查询mysql有哪些用户
select user ,plugin from mysql.user ;
创建数据三权分立,管理员,安全员,审计员账号
创建用户sys_role用户
CREATE USER ‘sys_role’@‘%’ IDENTIFIED BY 'password;
给sys_role用户授权health_station的所有权限,增删改查
grant all privileges on health_station.* to ‘sys_role’@‘%’;
9.Ssh 免密登录
查看root目录有没有.ssh文件。没有则生成ssh
ssh-keygen -t rsa 三次回车就可以
生成ssh之后,将公钥发送到其他服务器,即可免密登录
ssh-copy-id (服务器ip)
10.业务数据需加密存储
业务数据加密(如密码加密)
用户数据等敏感数据加密存储 (如AES,SM4国密等对称加密算法)文章来源:https://www.toymoban.com/news/detail-636955.html
windows 运维机器配置三级等保要求
windows 运维机器配置三级等保要求文章来源地址https://www.toymoban.com/news/detail-636955.html
到了这里,关于三级等保整改记录笔记的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!
