国产操作系统(统信UOS)网络安全等级保护基础安全加固

统一操作系统UOS是由多家企业共同打造的中文国产操作系统。

一、设置口令复杂度策略和有效期

首先安装libpam-pwquality依赖包

口令复杂度策略通过libpam-pwquality依赖包进行设置

依赖包的安装命令:sudo apt-get install libpam-pwquality。

依赖包的查看方式执行命令:dpkg -l libpam-pwquality。

执行命令:vim etc/pam.d/common-passwd

添加:password requisite pam_pwquality.so retry=3 enforce_for_root minlen=8 minclass=4 maxsequence=3 maxrepeat=3

备注:retry=3 此选项将提示用户3次,然后退出并返回错误

enforce_for_root 即使是配置root用户的密码,也必须遵守密码策略

minlen=8 密码最少长度8位

minclass=4 密码至少有四种特殊字符(大写字母、小写字母、数字、特殊符号)

maxsequence=3 在新密码中设置单调字符序列的最大长度

maxrepeat=3 设置密码中只允许最多3个连续的字符相同

二、设置密码过期时间

配置命令:vim etc/login.defs

参数修改:

备注:

PASS_MAX_DAYS 90 ##设置密码最多可多少天不修改

PASS_MIN_DAYS 1##设置密码修改之间最小的天数

PASS_WARN_AGE 7 ##设置密码失效前多少天通知用户

三、设置登录时间超时

1、设置本地登录失败处理

例如设置要求:密码输入错误10次,锁定10分钟之后解锁,同时对root用户生效,root用户锁定10分钟后解锁。

配置命令:vim /etc/pam.d/login

设置内容:

备注

pam_tally2.so 调用动态库

deny=10 设置普通用户和root用户连续错误登录的最大次数,超过最大次数,则锁定该用户

unlock_time=600 设定普通用户锁定后,多少时间后解锁,单位是秒

even_deny_root 也限制root用户

root_unlock_time=600 设定root用户锁定后,多少时间后解锁,单位是秒

2设置ssh远程登录失败处理

例如设置要求:密码输入错误10次,锁定10分钟之后解锁,同时对root用户生效,root用户锁定10分钟后解锁。

配置命令:vim /etc/pam.d/ssh

设置内容:

备注:

deny=10 #设置普通用户和root用户连续错误登录的最大次数,超过最大次数,则锁定该用户。

unlock_time=600 #设定普通用户锁定后,多少时间后解锁,单位是秒

even_deny_root #也限制root用户

root_unlock_time=600 #设定root用户锁定后,多少时间后解锁,单位是秒

四、禁止root用户远程登录

配置命令:vim /etc/ssh/sshd_config

配置内容:

备注:

将PermitRootLogin yes 改为 PermitRootLogin no 或者 #PermitRootLogin yes

修改完成之后需要重启服务生效,重启服务命令systemctl restart sshd

五、登录超时后自动退出登录

配置命令:vim /etc/profile

配置内容:

备注:

export TMOUT=900 设置超时时间为900秒 参数值可以自己指定

设置完成之后需要重新登录终端生效。

六、限制服务器访问地址范围

查看允许登录的地址命令:more /etc/hosts.allow。

查看拒绝登录的地址命令:more /etc/hosts.deny。

此处由于自己单机部署未配置。

七、日志服务器配置

安装日志服务(默认已经安装):apt install -y rsyslog

由于本文单机部署,无日志服务器,配置日志服务器也比较麻烦,偷点懒了,具体配置日志服务器可网上百度,统信配置日志服务器和其他Linux操作系统类似。

八、总结

统信UOS整体效果还不错,就是运行起来有一丢丢卡,也有可能和我的运行环境有关,可能需要一个适应过程,另外部分命令和常见的Linux操作系统有一些差别,其他都还好。

相关推荐
想你依然心痛1 天前
嵌入式C代码规范:MISRA-C 2012核心规则解读——类型安全与未定义行为深度剖析
c语言·安全·代码规范
Elastic 中国社区官方博客1 天前
跟踪资金流向:使用 ES|QL 和跨集群搜索追踪洗钱网络
大数据·人工智能·安全·elasticsearch·搜索引擎·金融·全文检索
IT新视界1 天前
数据要素安全流通服务
安全
微信开发api-视频号协议1 天前
Codex++安全边界探秘:从模型能力到风险防御
前端·安全·微信·企业微信
枝头玉1 天前
新160个CrackMe048-monkeycrackme1、049-THraw-crackme8、050-daxxor逆向分析
安全·逆向·crackme·reserve
维基框架1 天前
Claude Mythos Preview 发布后严重漏洞激增:安全还是营销?
人工智能·安全
技术不好的崎鸣同学1 天前
[MRCTF2020]PYWebsite 思路及解法
安全·web安全
seven_stars_1 天前
CVE-2012-1823漏洞复现
安全·靶场·kali
碎碎念_4921 天前
ACL包过滤、NAT技术、广域网协议
服务器·网络·安全·acl·nat
梅羽落1 天前
服务器安全(Windows Server+Linux)
服务器·windows·安全