Centos7等保三级整改

嘿螃海 06-02 4449

前言：

而今咱们对“centos7下rm命令”可能比较关注，姐妹们都想要分析一些“centos7下rm命令”的相关知识。那么小编也在网摘上收集了一些有关“centos7下rm命令””的相关知识，希望各位老铁们能喜欢，兄弟们快快来了解一下吧！

一、操作系统的检测

　　1、设置密码安全策略

　　　　1）修改vim /etc/login.defs文件

#vim /etc/login.defsPASS_MAX_DAYS   90  　　      # 密码最长过期天数PASS_MIN_DAYS   80  　　　    # 密码最小过期天数PASS_MIN_LEN    16  　　　　  # 密码最小长度PASS_WARN_AGE   14   　　　   # 密码过期警告天数

　　　　 2）修改/etc/pam.d/system-auth文件

vim /etc/pam.d/system-auth在 password requisite pam_cracklib.so 一行换成如下内容：password  requisite pam_cracklib.so retry=5  difok=3 minlen=10 ucredit=-1 lcredit=-3 dcredit=-3 dictpath=/usr/share/cracklib/pw_dict参数含义：尝试次数：5 ；最少不同字符：3 ；最小密码长度：10 ；最少大写字母：1；最少小写字母：3 ；最少数字：3 ；字典位置：/usr/share/cracklib/pw_dict

2、查看是否存在特权用户，通过判断uid是否为0来查找系统是否存在特权用户，使用命令awk即可查出

awk -F: '$3==0 {print $1}' /etc/passwd

　　3、查看是否存在空口令用户

　　　　在/etc/passwd中用户的密码是被保护的状态，即使用了*号来隐藏。而实际的密码内容是加密后

　　保存在/etc/shadow文件中了，我们确认是否存在空口令的用户就确认该文件中密码对应字段的长度是否为0，

　　如果为0则证明该用户密码为空。

awk -F: 'length($2)==0 {print $1}' /etc/shadow

　　4、删除多余的账号

userdel uucpuserdel nuucpuserdel lpuserdel admuserdel syncuserdel shutdownuserdel haltuserdel newsuserdel operatoruserdel gopheruserdel binuserdel mailuserdel gamesuserdel ftpuserdel vcsauserdel abrtuserdel ntpuserdel saslauthuserdel tcpdump

　　5、日志权限不得大于640 设置日志权限为640

chmod 640 /var/log/messageschmod 640 /var/log/securechmod 640 /var/log/audit/audit.log

　　6、添加审计账号

useradd auditusermod -G audit audit

　　7、添加审计

vim /etc/audit/rules.d/audit.rules-a exit,always -F arch=b64 -S umask -S chown -S chmod-a exit,always -F arch=b64 -S unlink -S rmdir-a exit,always -F arch=b64 -S setrlimit-a exit,always -F arch=b64 -S setuid -S setreuid-a exit,always -F arch=b64 -S setgid -S setregid-a exit,always -F arch=b64 -S sethostname -S setdomainname-a exit,always -F arch=b64 -S adjtimex -S settimeofday-a exit,always -F arch=b64 -S mount -S _sysctl-w /etc/group -p wa-w /etc/passwd -p wa-w /etc/shadow -p wa-w /etc/sudoers -p wa-w /etc/ssh/sshd_config-w /etc/bashrc -p wa-w /etc/profile -p wa-w /etc/profile.d/-w /etc/aliases -p wa-w /etc/sysctl.conf -p wa-w /var/log/lastlog# Disable adding any additional rules - note that adding *new* rules will require a reboot

　　8、将/var/log/赋给audit

chown audit:audit -R /var/logchown root:root -R /var/log/audit

　　9、禁止root登陆

vim /etc/ssh/sshd_configPermitRootLogin no

　　10、日志上传服务器

vim  /etc/rsyslog.conf*.info;mail.none;news.none;authpriv.none;cron.none /var/log/messages*.* @@172.16.x.xx:514*.* @172.16.x.xx:514

　　11、登陆失败处理

vim /etc/pam.d/system-auth在对应的auth段添加如下内容auth        required      pam_tally2.so onerr=fail deny=5 unlock_time=300在对应的password段添加如下内容password    requisite     pam_cracklib.so minlen=8 ucredit=-1 lcredit=-1 dcredit=-1 ocredit=-1 vim  /etc/profileexport TMOUT=600

　　12、ssh配置

修改/etc/ssh/sshd_config配置文件ssh访问控制AllowUsers <userlist> AllowGroups <grouplist> DenyUsers <userlist> DenyGroups <grouplist> 配置加密算法Ciphers aes256-ctr,aes192-ctr,aes128-ctr  # 使用已批准的加密类型MACs hmac-sha2-512,hmac-sha2-256          # 使用已批准的Mac算法密码验证PermitEmptyPasswords no  # 禁止无密码访问服务器PermitRootLogin yes      # 是否禁止使用root登录(为方便管理，暂未收回权限)如果禁用root需要创建一个超级管理员。openssh主机认证HostbasedAuthentication no限制用户认证次数MaxAuthTries 4  # 等保三要求该值小于等于 4ssh空闲超时ClientAliveInterval 300  # 小于等于300sClientAliveCountMax 3    # 存活用户数小于等于3

本文地址：http://www.longkongtuishu.com/cabf5BAdsDFsDDA.html

标签： #centos7下rm命令

Centos7等保三级整改

Centos7等保三级整改

Centos7安装Redis、六条命令搞定