安全策略

密码复杂度和密码错误锁定

系统是pam_tally2模块
使用方法
pam_tally2.so [file=/path/to/counter] [onerr=[fail|succeed][magic_root] [even_deny_root] [deny=n]
[lock_time=n] [unlock_time=n] [root_unlock_time=n] [serialize] [audit] [silent] [no_log_info]

    对远程登录限制
    　vim /etc/pam.d/sshd
    　#第一行加入
    　auth        required      pam_tally2.so deny=3 unlock_time=300 even_deny_root root_unlock_time=60
    对本地终端登陆进行限制，修改etc/pam.d/login
    
    vim /etc/login.defs
        PASS_MAX_DAYS   90  #密码最长过期天数
        PASS_MIN_DAYS   80  #密码最小过期天数
        PASS_MIN_LEN    8  #密码最小长度
        PASS_WARN_AGE   7   #密码过期警告天数
    
    修改/etc/pam.d/system-auth文件，找到 password requisite pam_cracklib.so这么一行替换成如下：
        password  requisite pam_cracklib.so retry=3  difok=3 minlen=8 ucredit=-1 lcredit=-3 dcredit=-3 dictpath=/usr/share/cracklib/pw_dict

    参数含义：
    尝试次数：5    
    最少不同字符：3       
    最小密码长度：10          
    最少大写字母：1       
    最少小写字母：3        
    最少数字：3        
    密码字典：/usr/share/cracklib/pw_dict

系统日志储存六个月

 vim /etc/logrotate.conf
 monthly 按月切割
 rotate 6 保存六份

查找恶意代码工具clamav

 安装目录：/usr/local/clamav
 源码安装:./configure --prefix=/usr/local/clamav  && make && make install
 添加用户：useradd clamav 
 创建日志、库和临时目录：mkdir -p logs tmp database && chown clamav:clamav logs database
 配置文件目录：/usr/local/clamav/etc/
 
 vim clamd.conf
 LogFile /usr/local/clamav/logs/clamd.log
 PidFile /usr/local/clamav/tmp/clamd.pid
 DatabaseDirectory /usr/local/clamav/database
 
 vim freshclam.conf
 DatabaseDirectory /usr/local/clamav/database/
 UpdateLogFile /usr/local/clamav/logs/freshclam.log
 PidFile /usr/local/clamav/tmp/freshclam.pid
 
 更新木马库：/usr/local/clamav/bin/freshclam
 检测目录并删除木马文件：/usr/local/clamav/bin/clamscan --remove /root