CentOS服务器三级等保加固
创始人
2024-09-25 09:20:53
0
1.密码周期: vim /etc/login.defs max_days:90 mindays:2 minlen:8 warnage:7  2.密码复杂度: vim /etc/pam.d/system-auth : password requisite pam_cracklib.so retry=3 difok=3 minlen=8 lcredit=-1 dcredit=-1 ucredit=-1 ocredit=-1 【Ubuntu系统->vim /etc/pam.d/common-password】  3.登录失败策略【和密码复杂度一起】: vim /etc/pam.d/system-auth: auth required pam_tally2.so onerr=fail deny=5 lock_time=2 unlock_time=1800 【Ubuntu系统->vim /etc/pam.d/common-auth】  //4.centOS查看talnet服务是否运行: netstat -an | grep ":23" //禁止telnet运行,禁止开机启动: systemctl stop telnet.socket systemctl disable telnet.socket systemctl restart xinetd  5.用户名 vim/etc/passwd 截图检查 useradd (name) //passwd name【更改密码】 system,audit,super  6.审计策略开启 systemctl status rsyslog systemctl status auditd  7.审计记录(日志配置) vim /etc/logrotate.conf :让日志文件转储一个月,保留6个月的信息 minsize 1M rotate 6 monthly  【连接日志审计系统】 vim /etc/rsyslog.conf *.* @@:514处改为@+日志审计系统的ip 然后systemctl restart rsyslog.service   7.5 部署clamav ... freshclam   8.超时锁定 vim /etc/profile export TMOUT=900   8.5.安全备份:ls /tmp/    //etc.tar.gz   8.555 关闭不需要的服务、端口流程:firewall-cmd --list-all [linux防火墙关闭端口] 打开防火墙服务:systemctl start firewalld  放行指定单个端口:firewall-cmd --zone=public --add-port=25/tcp --permanent  批量限制ip,限制192.168.x.x的所有ip访问yy端口:【25,135,445,139,80】 firewall-cmd --permanent --add-rich-rule="rule family='ipv4' source address='192.168.x.0/24' port protocol='tcp' port='80' reject"  firewall-cmd --permanent --add-rich-rule="rule family='ipv4' source address='192.168.4.0/24' port protocol='tcp' port='22' accept"  生效上面添加的指令:firewall-cmd --reload  查看所有被放行的端口:firewall-cmd --list-port (--list-all)  取消指定一开放端口:firewall-cmd --zone=public --remove-port=25/tcp --permanent  firewall-cmd --permanent --zone=public --remove-rich-rule='rule family="ipv4" source address="192.168.4.0/24" port protocol="tcp" port="22" reject'   9.cat /etc/passwd(shadow) 命令查看所有账号 userdel -r删除不必要的账号 passwd -l禁用账户 passwd -u解锁账户   //10.防dos  cat/proc/sys/net/ipv4/tcp_syncookies截图【syncookie默认值】 vim /etc/sysctl.conf 加上net.ipv4.tcp_max_syn_backlog = 2048 

1、密码周期策略vim /etc/login.defs 查看密码策略
应对登录的用户进行身份标识和鉴别,身份标识具有唯一性,身份鉴别信息具有复杂度要求并定期更换;
vi /etc/login.defs,按“S”进入修改模式,将参数修改成以下图片上的参数值,修改完毕后按“ESC”退出修改模式,此时为只读模式,然后再输入“:wq”进行保存。

图片

2、密码复杂度策略
输入命令vi /etc/pam.d/system-auth 按“S”进入修改模式,在文中添加如下命令,修改完毕后按“ESC”退出修改模式,此时为只读模式,然后再输入“:wq”进行保存。
password requisite pam_cracklib.so retry=3 difok=2 minlen=8 lcredit=-1 dcredit=-1 ucredit=-1 ocredit=-1

图片


3.登入失败策略 vi /etc/pam.d/sshd 按“S”进入修改模式,在文中添加如下命令,修改完毕后按“ESC”退出修改模式,此时为只读模式,然后再输入“:wq”进行保存。
auth required pam_tally2.so deny=10 lock_time=2 even_deny_root unlock_time=0

图片

  1. 登录超时锁定:
    在/etc/profile里加上export TMOUT=900就好

图片

6、访问控制:应对登录的用户分配账户和权限:
查看是否进行三权分立,即有不同的用户 :cat /etc/passwd
创建三个管理员账户:audit、system、security

图片


如果没有可以通过命令创建:
useradd audit
useradd system

应及时删除或停用多余的、过期的账户,避免共享账户的存在;应授予管理用户所需的最小权限,实现管理用户的权限分离;
但在实际生产中,Linux系统很难完全满足该项要求,因为超级管理员用户root一旦被禁用会影响系统和应用的正常使用。但仍应严格限制具有root级权限的账户,其他用户仅应通过使用sudo被赋予root级权限

7、开启策略审核功能
分别输入“systemctl status rsyslog”与“systemctl status auditd”,开启策略审核功能即可。

图片

8、安全日志属性设置 修改vi /etc/logrotate.conf 按“S”进入修改模式,将参数修改成以下图片上的参数值,修改完毕后按“ESC”退出修改模式,此时为只读模式,然后再输入“:wq”进行保存。

图片

9:关闭不必要端口、对远程连接的网络地址进行限制:
按一个linux的firewall:
对它进行配置:

打开防火墙服务:systemctl start firewalld  放行指定单个端口:firewall-cmd --zone=public --add-port=25/tcp --permanent  批量限制ip,限制192.168.x.x的所有ip访问yy端口:【25,135,445,139,80】 firewall-cmd --permanent --add-rich-rule="rule family='ipv4' source address='192.168.x.0/24' port protocol='tcp' port='80' reject"  firewall-cmd --permanent --add-rich-rule="rule family='ipv4' source address='192.168.4.0/24' port protocol='tcp' port='22' accept"  生效上面添加的指令:firewall-cmd --reload  查看所有被放行的端口:firewall-cmd --list-port (--list-all)  取消指定一开放端口:firewall-cmd --zone=public --remove-port=25/tcp --permanent  firewall-cmd --permanent --zone=public --remove-rich-rule='rule family="ipv4" source address="192.168.4.0/24" port protocol="tcp" port="22" reject' 

图片

10.入侵防范
应遵循最小安装的原则,仅安装需要的组件和应用程序;
查看系统当前版本,是否及时安装安全补丁

我都是安装部署clamav
具体怎么安装可以百度

图片

相关内容

热门资讯

透明私人局(微扑克稳赢)软件透... 透明私人局(微扑克稳赢)软件透明挂,wepokE其实一直都是有挂,详细教程(有挂规律)-哔哩哔哩;是...
透明总结(德扑自定义)辅助透视... 您好,德扑自定义这款游戏可以开挂的,确实是有挂的,需要了解加微【285696317】很多玩家在这款游...
透视辅助(云扑克app辅助)确... 透视辅助(云扑克app辅助)确实是真的有辅助挂!详细教程(有挂网页版)-哔哩哔哩透视辅助(云扑克ap...
透明透视(Wepoke胜率)透... 您好:Wepoke胜率这款游戏可以开挂的,确实是有挂的,很多玩家在这款游戏中打牌都会发现很多用户的牌...
透视透明挂!wpk辅助神器,a... 《aapoker透明挂软件透明挂》是一款多人竞技的aapoker透明挂辅助透视游戏,你将微扑克对手来...
透明教程(德州之星有外挂)原来... 《德州之星软件透明挂》是一款多人竞技的德州之星辅助透视游戏,你将微扑克对手来到同一个战场,为至高无上...
透视ai(aapoker线上)... 透视ai(aapoker线上)透视辅助(透视)原来真的是有挂(2025已更新)(哔哩哔哩)是一款可以...
透视中牌率(德扑之星操作)其实... 透视中牌率(德扑之星操作)其实真的是有挂!详细教程(有挂线上)-哔哩哔哩;德扑之星免费下载原版,在德...
透视智能ai(智星德州安卓版)... 透视智能ai(智星德州安卓版)软件透明挂,wepOKE原来真是有挂,详细教程(有挂传授)-哔哩哔哩;...
透视辅助!德扑ai软件购买,扑... 透视辅助!德扑ai软件购买,扑克时间有后台控制的,详细教程(有挂插件)-哔哩哔哩;1、超多福利:超高...