| 国产麒麟服务器等保二级 配置规范(一) | 您所在的位置:网站首页 › linux更改口令策略 等保 › 国产麒麟服务器等保二级 配置规范(一) |
国产麒麟服务器等保二级 配置规范(一)
|
麒麟linux的加固 1.检查设备密码复杂度策略配置文件 vi /etc/pam.d/system-auth password requisite pam_cracklib.so ucredit=-1 lcredit=-1 dcredit=-1 minlen=6 auth required pam_tally.so deny=5 unlock_time=600 no_lock_time account required pam_tally.sopassword sufficient pam_unix.so md5 shadow nullok try_first_pass use_authtok 后面追加 remember=5参数说明: minlen=6 remember=5 #检查密码重复使用次数限制 deny #连续认证失败次数超过的次数 unlock_time #锁定的时间,单位为秒 2.检查是否设置口令生存周期在文件/etc/login.defs中设置 默认值 PASS_MAX_DAYS 99999 PASS_MIN_DAYS 0 PASS_MIN_LEN 5 PASS_WARN_AGE 7 在文件/etc/login.defs中设置 PASS_MAX_DAYS 90 #检查口令更改最长时间 PASS_MIN_DAYS 6 #检查口令更改最小间隔天数 PASS_MIN_LEN 6 #设置口令最小长度 PASS_WARN_AGE 30 #检查口令过期前警告天数 3.检查重要目录或文件权限设置 chmod 750 /etc/rc.d/init.d chmod 750 /tmp chmod 750 /etc/rc6.d chmod 750 /etc/rc5.d chmod 750 /etc/rc4.d chmod 750 /etc/rc3.d chmod 750 /etc/rc2.d chmod 750 /etc/rc1.d chmod 750 /etc/rc0.d/ chmod 600 /etc/security chmod 600 /boot/grub2/grub.cfg chmod 644 /etc/services chmod 644 /etc/group 4.检查重要文件属性设置用 lsattr 查看权限 chattr -i 去掉权限 检查/etc/gshadow文件属性 chattr +i /etc/gshadow 检查/etc/shadow文件属性 chattr +i /etc/shadow 检查/etc/group文件属性 chattr +i /etc/group 检查/etc/passwd文件属性 chattr +i /etc/passwd chattr +i /etc/gshadow chattr +i /etc/shadow chattr +i /etc/group chattr +i /etc/passwd检查用户umask设置
禁止root直接登录 和修改 sshd_config登录的 修改文件,配置PermitRootLogin no。重启服务,/etc/init.d/sshd restart 或者 service sshd restart。 7.mysql配置规范
检查是否禁止mysql以管理员账号权限运行 [mysqld]配置段中添加 user=mysql 更改root用户名 并删除测试数据库test mysql> update user set user="syzl" where user="root"; mysql> flush privileges; mysql> show databases; mysql> drop database test; mysql> flush privileges; mysql配置规范 [mysqld] user=mysql slow_query_log = 1 log_error = /usr/local/mysql/mysql.err slow_query_log = ON #开启慢查询 long_query_time =1 #设置慢查询时间 超过一秒的记录log_bin = mysql-bin server_id = 134 log-bin=mysql-bin log-bin-index=master-bin.index expire_logs_days = 7 binlog_format=row slave_skip_errors=1062log_slave_updates=1 max_connections = 1000 max_connection_errors=1000 wait_timeout=864000 interactive_timeout=864000local-infile=0 character_set_server=utf8 init_connect='SET NAMES utf8' basedir=/usr/local/mysql datadir=/usr/local/mysql/data socket=/tmp/mysql.socksymbolic-links = 0 #不区分大小写 lower_case_table_names = 1 ##不开启sql严格模式 sql_mode = "STRICT_TRANS_TABLES,ERROR_FOR_DIVISION_BY_ZERO,NO_AUTO_CREATE_USER,NO_ENGINE_SUBSTITUTION" log-error=/var/log/mysqld.log pid-file=/usr/local/mysql/data/mysqld.pid max_allowed_packet = 15M 8.其他安全8.1检查是否设置命令行界面超时退出 和设置保留历史命令的条数 添加 export TMOUT=600 设置命令行界面超时退出 vi /etc/profile export TMOUT=600 HISTSIZE=2000 #保留历史命令的条数改为2000source /etc/profile 记得重新加载 8.2 检查是否使用PAM认证模块禁止wheel组之外的用户su为root vi /etc/pam.d/su auth required pam_wheel.so group=wheel#你可以把用户添加到wheel组,以使它可以使用su命令成为root用户。 #添加方法为:usermod –G wheel username
8.3 检查系统core dump设置 在文件/etc/security/limits.conf中配置* soft core 0 在文件/etc/security/limits.conf中配置* hard core 0echo '* soft core 0' >> /etc/security/limits.conf echo '* hard core 0' >> /etc/security/limits.conf6.4 检查系统是否禁用ctrl+alt+del组合键 删除/usr/lib/systemd/system/ctrl-alt-del.target 再次执行init q重新reload配置文件rm -rf /usr/lib/systemd/system/ctrl-alt-del.targetinit q
8.5检查ntp服务是否开启 systemctl start ntpd 查看状态 :systemctl status ntpd 配置:server IP地址(提供ntp服务的机器) 如:server 192.168.1.1
8.6 检查是否配置关闭IP伪装 检查是否配置关闭多IP绑定 编辑/etc/host.conf文件 添加nospoof on #关闭IP伪装 multi off #关闭多IP绑定
|
【本文地址】