修改服务器配置文件/etc/pam.d/system-auth,但是,把一下配置放在password 的配置第一行才会生效
-
执行命令:配置口令要求:大小写字母、数字、特殊字符组合、至少8位,包括强制设置root口令!
sed -i '14a password requisite pam_pwquality.so try_first_pass local_users_only retry=3 authtok_type= minlen=8 lcredit=-1 ucredit=-1 dcredit=-1 ocredit=-1 difok=5 enforce_for_root' /etc/pam.d/system-auth
- 修改配置/etc/login.defs文件(注:这里文件配置未能进行强制要求,只能做形式使用)
命令:
sed -i 's/PASS_MIN_LEN.*$/PASS_MIN_LEN 8/g' /etc/login.defs
配置口令过期策略
-
修改配置/etc/login.defs文件(注:这里修改配置文件仅对后期新建得账户有效,root账户无效)
sed -i 's/PASS_MAX_DAYS.*$/PASS_MAX_DAYS 90/g' /etc/login.defs
- root账户口令过期方法,可参照:
Linux 正确修改账户的过期时间_pass_max_days 90-CSDN博客
使用的命令:
chage -M 90 root配置登录失败处理策略
- 修改配置文件:/etc/pam.d/sshd,该配置仅对采用SSH协议登录的方式有效
表示:登录失败5次锁定账户30分钟!
sed -i '1a auth required pam_tally2.so deny=5 unlock_time=1800 even_deny_root root_unlock_time=1800' /etc/pam.d/sshd 
- 修改配置文件:/etc/pam.d/system-auth,该配置是对sudo 账户登录方式有效,
表示:登录失败5次锁定账户30分钟!
sed -i '3a auth required pam_tally2.so deny=5 unlock_time=1800 even_deny_root root_unlock_time=1800' /etc/pam.d/system-auth
- 其实登录失败还需要更改一个文件,但不建议,该文件为限制终端界面的操作登录失败处理策略!实际运维中,均是采用SSH协议、sudo方式进行登录服务器,如修改该配置,出现问题,无法使用操作界面登录服务器!
修改配置文件:/etc/pam.d/login
sed -i '2a auth required pam_tally2.so deny=5 unlock_time=1800 even_deny_root root_unlock_time=1800' /etc/pam.d/login
修改日志配置,保证至少六个月存储时间
命令,但这种配置不合理,尽量定期备份,或者搭建日志服务器实时收集日志!(注:备份脚本请参考:等保2.0之Linux系统日志备份_linux审计记录保存180天-CSDN博客)
sed -i 's/rotate.*$/rotate 30/g' /etc/logrotate.conf
修改敏感信息泄露与登录超时自动退出策略
-
修改敏感信息泄露
sed -i 's/HISTSIZE=.*$/HISTSIZE=0/g' /etc/profile
-
登录超时10分钟无操作自动退出
echo "export TMOUT=600" >> /etc/profile
-
更新/etc/profile文件,才会生效
source /etc/profile
权限分配:可以新建两个账户,无强制固定权限说法
echo "Aa1@#3456789qazwsx"|passwd --stdin audit
echo "Aa1@#78903456qazwsx"|passwd --stdin operater