ToB企服应用市场:ToB评测及商务社交产业平台

标题: CentOS服务器三级等保加固 [打印本页]
作者: 老婆出轨    时间: 2024-9-29 21:54
标题: CentOS服务器三级等保加固
  1. 1.密码周期: vim /etc/login.defs max_days:90 mindays:2 minlen:8 warnage:7
  3. 2.密码复杂度: vim /etc/pam.d/system-auth :
  4. password requisite pam_cracklib.so retry=3 difok=3 minlen=8 lcredit=-1 dcredit=-1 ucredit=-1 ocredit=-1
  5. 【Ubuntu系统->vim /etc/pam.d/common-password】
  7. 3.登录失败策略【和密码复杂度一起】: vim /etc/pam.d/system-auth:
  8. auth required pam_tally2.so onerr=fail deny=5 lock_time=2 unlock_time=1800
  9. 【Ubuntu系统->vim /etc/pam.d/common-auth】
  11. //4.centOS查看talnet服务是否运行:
  12. netstat -an | grep ":23"
  13. //禁止telnet运行,禁止开机启动:
  14. systemctl stop telnet.socket
  15. systemctl disable telnet.socket
  16. systemctl restart xinetd
  18. 5.用户名 vim/etc/passwd 截图检查
  19. useradd (name)
  20. //passwd name【更改密码】
  21. system,audit,super
  23. 6.审计策略开启
  24. systemctl status rsyslog
  25. systemctl status auditd
  27. 7.审计记录(日志配置)
  28. vim /etc/logrotate.conf :让日志文件转储一个月,保留6个月的信息
  29. minsize 1M
  30. rotate 6
  31. monthly
  33. 【连接日志审计系统】
  34. vim /etc/rsyslog.conf
  35. *.* @@:514处改为@+日志审计系统的ip
  36. 然后systemctl restart rsyslog.service
  39. 7.5 部署clamav
  40. ...
  41. freshclam
  44. 8.超时锁定 vim /etc/profile
  45. export TMOUT=900
  48. 8.5.安全备份:ls /tmp/   
  49. //etc.tar.gz
  52. 8.555 关闭不需要的服务、端口流程:firewall-cmd --list-all
  53. [linux防火墙关闭端口]
  54. 打开防火墙服务:systemctl start firewalld
  56. 放行指定单个端口:firewall-cmd --zone=public --add-port=25/tcp --permanent
  58. 批量限制ip,限制192.168.x.x的所有ip访问yy端口:【25,135,445,139,80】
  59. firewall-cmd --permanent --add-rich-rule="rule family='ipv4' source address='192.168.x.0/24' port protocol='tcp' port='80' reject"
  61. firewall-cmd --permanent --add-rich-rule="rule family='ipv4' source address='192.168.4.0/24' port protocol='tcp' port='22' accept"
  63. 生效上面添加的指令:firewall-cmd --reload
  65. 查看所有被放行的端口:firewall-cmd --list-port (--list-all)
  67. 取消指定一开放端口:firewall-cmd --zone=public --remove-port=25/tcp --permanent
  69. firewall-cmd --permanent --zone=public --remove-rich-rule='rule family="ipv4" source address="192.168.4.0/24" port protocol="tcp" port="22" reject'
  72. 9.cat /etc/passwd(shadow) 命令查看所有账号
  73. userdel -r删除不必要的账号
  74. passwd -l禁用账户
  75. passwd -u解锁账户
  78. //10.防dos
  79. cat/proc/sys/net/ipv4/tcp_syncookies截图【syncookie默认值】
  80. vim /etc/sysctl.conf 加上net.ipv4.tcp_max_syn_backlog = 2048
复制代码
1、暗码周期策略vim /etc/login.defs 查看暗码策略
应对登录的用户举行身份标识和辨别,身份标识具有唯一性,身份辨别信息具有复杂度要求并定期更换;
vi /etc/login.defs,按“S”进入修改模式,将参数修改成以下图片上的参数值,修改完毕后按“ESC”退出修改模式,此时为只读模式,然后再输入“:wq”举行生存。


2、暗码复杂度策略
输入命令vi /etc/pam.d/system-auth 按“S”进入修改模式,在文中添加如下命令,修改完毕后按“ESC”退出修改模式,此时为只读模式,然后再输入“:wq”举行生存。
password requisite pam_cracklib.so retry=3 difok=2 minlen=8 lcredit=-1 dcredit=-1 ucredit=-1 ocredit=-1



3.登入失败策略 vi /etc/pam.d/sshd 按“S”进入修改模式,在文中添加如下命令,修改完毕后按“ESC”退出修改模式,此时为只读模式,然后再输入“:wq”举行生存。
auth required pam_tally2.so deny=10 lock_time=2 even_deny_root unlock_time=0




6、访问控制:应对登录的用户分配账户和权限:
查看是否举行三权分立,即有不同的用户 :cat /etc/passwd
创建三个管理员账户:audit、system、security



假如没有可以通过命令创建:
useradd audit
useradd system

应实时删除或停用多余的、过期的账户,避免共享账户的存在;应授予管理用户所需的最小权限,实现管理用户的权限分离;
但在实际生产中,Linux系统很难完全满足该项要求,因为超等管理员用户root一旦被禁用会影响系统和应用的正常使用。但仍应严格限制具有root级权限的账户,其他用户仅应通过使用sudo被赋予root级权限
7、开启策略审核功能
分别输入“systemctl status rsyslog”与“systemctl status auditd”,开启策略审核功能即可。


8、安整日志属性设置 修改vi /etc/logrotate.conf 按“S”进入修改模式,将参数修改成以下图片上的参数值,修改完毕后按“ESC”退出修改模式,此时为只读模式,然后再输入“:wq”举行生存。


9:关闭不须要端口、对远程连接的网络地点举行限制:
按一个linux的firewall:
对它举行配置:
  1. 打开防火墙服务:systemctl start firewalld
  3. 放行指定单个端口:firewall-cmd --zone=public --add-port=25/tcp --permanent
  5. 批量限制ip,限制192.168.x.x的所有ip访问yy端口:【25,135,445,139,80】
  6. firewall-cmd --permanent --add-rich-rule="rule family='ipv4' source address='192.168.x.0/24' port protocol='tcp' port='80' reject"
  8. firewall-cmd --permanent --add-rich-rule="rule family='ipv4' source address='192.168.4.0/24' port protocol='tcp' port='22' accept"
  10. 生效上面添加的指令:firewall-cmd --reload
  12. 查看所有被放行的端口:firewall-cmd --list-port (--list-all)
  14. 取消指定一开放端口:firewall-cmd --zone=public --remove-port=25/tcp --permanent
  16. firewall-cmd --permanent --zone=public --remove-rich-rule='rule family="ipv4" source address="192.168.4.0/24" port protocol="tcp" port="22" reject'
复制代码


10.入侵防范
应依照最小安装的原则,仅安装需要的组件和应用程序;
查看系统当前版本,是否实时安装安全补丁
我都是安装部署clamav
详细怎么安装可以百度


免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作!更多信息从访问主页:qidao123.com:ToB企服之家,中国第一个企服评测及商务社交产业平台。



欢迎光临 ToB企服应用市场:ToB评测及商务社交产业平台 (https://dis.qidao123.com/) Powered by Discuz! X3.4