系统安全博客2-系统加固方案

文章目录

        • 1.密码长度与有效期
        • 2.密码复杂度
        • 3.新口令不能与4个最近使用的相同
        • 4.设置会话超时(5分钟)
        • 5.设置history命令时间戳

1.密码长度与有效期

配置文件:/etc/login.defs
/etc/login.defs文件的pass_min_len 参数并不具备强制性,测试仍然可以设置7位密码。最终需要cracklib来实现。
配置文件说明:

设置项 含义
MAIL_DIR /var/spool/mail 创建用户时,系统会在目录 /var/spool/mail 中创建一个用户邮箱,比如 lamp 用户的邮箱是 /var/spool/mail/lamp。
PASS_MAX_DAYS 99999 密码有效期,99999 是自 1970 年 1 月 1 日起密码有效的天数,相当于 273 年,可理解为密码始终有效。
PASS_MIN_DAYS 0 表示自上次修改密码以来,最少隔多少天后用户才能再次修改密码,默认值是0。
PASS_MIN_LEN 5 指定密码的最小长度,默认不小于 5 位,但是现在用户登录时验证已经被 PAM 模块取代,所以这个选项并不生效。
PASS_WARN_AGE 7 指定在密码到期前多少天,系统就开始通知用户密码即将到期,默认为7天。
UID_MIN 500 指定最小 UID 为 500,也就是说,添加用户时,默认 UID 从 500 开始。注意,如果手工指定了一个用户的 UID 是 550,那么下一个创建的用户的 UID 就会从 551 开始,哪怕 500~549 之间的 UID 没有使用。
UID_MAX 60000 指定用户最大的 UID 为 60000。
GID_MIN 500 指定最小 GID 为 500,也就是在添加组时,组的 GID 从 500 开始。
GID_MAX 60000 用户 GID 最大为 60000。
CREATE_HOME yes 指定在创建用户时,是否同时创建用户主目录,yes 表示创建,no 则不创建,默认是 yes。
UMASK 077 用户主目录的权限默认设置为 077。
USERGROUPS_ENAB yes 指定删除用户的时候是否同时删除用户组,准确地说,这里指的是删除用户的初始组,此项的默认值为 yes。
ENCRYPT_METHOD SHA512 指定用户密码的加密规则,默认采用 SHA512,这是新的密码加密模式,原先的 Linux 只能用 DES或MD5加密。
  1. 查看默认配置

# cat /etc/login.defs |grep PASS_ |grep -v ‘#’
PASS_MAX_DAYS 99999
PASS_MIN_DAYS 0
PASS_MIN_LEN 5
PASS_WARN_AGE 7

  1. 加固方案
    (1)备份配置文件:

# cp -a /etc/login.defs /etc/login.defs.default

(2)编辑配置文件并将相关参数改成如下

# vi /etc/login.defs
PASS_MAX_DAYS 90
PASS_MIN_DAYS 6
PASS_MIN_LEN 8
PASS_WARN_AGE 30

2.密码复杂度

  1. 查看默认配置

# cat /etc/pam.d/system-auth | grep “pam_pwquality.so try_first_pass local_users_only retry=3 authtok_type=”
password requisite pam_pwquality.so try_first_pass local_users_only retry=3 authtok_type=

  1. 相关字段说明
字段 说明
try_first_pass 而当pam_unix验证模块与password验证类型一起使用时,该选项主要用来防止用户新设定的密码与以前的旧密码相同。
minlen=8 最小长度8位
difok=5 新、旧密码最少5个字符不同
dcredit=-1 最少1个数字
credit=-1 最少1个小写字符,(ucredit=-1:最少1个大写字符)
ocredit=-1 最少1个特殊字符
retry=1 1次错误后返回错误信息
type=xxx 此选项用来修改缺省的密码提示文本
  1. 加固方案

(1)备份配置文件:

# cp -a /etc/pam.d/system-auth /etc/pam.d/system-auth.default

(2)编辑配置文件:

# vi /etc/pam.d/system-auth
注释:password requisite pam_pwquality.so try_first_pass local_users_only retry=3 authtok_type=
在其下面新增1行:password requisite pam_cracklib.so try_first_pass minlen=8 difok=5 dcredit=-1 lcredit=-1 ocredit=-1 retry=1 type=

(3)保存配置文件

3.新口令不能与4个最近使用的相同

  1. 查看默认配置

# cat /etc/pam.d/system-auth |grep use_authtok
password sufficient pam_unix.so sha512 shadow nullok try_first_pass use_authtok

  1. 加固方案
    (1)备份配置文件
    (2)编辑配置文件:

# vim /etc/pam.d/system-auth
在password sufficient pam_unix.so sha512 shadow nullok try_first_pass use_authtok 行的后面添加remember=5

(4)保存配置文件

4.设置会话超时(5分钟)

  1. 默认配置:无
  2. 加固方案:
    (1)备份配置文件:

# cp -a /etc/profile /etc/profile.default

(2)编辑配置文件:

vim /etc/profile
在文件的末尾添加参数
export TMOUT=300

(3)保存配置文件

5.设置history命令时间戳

  1. 默认配置: 无
  2. 加固方案:
    (1)备份配置文件:
    (2)编辑配置文件:

vim /etc/profile
在文件的末尾添加参数
export HISTTIMEFORMAT="%F %T whoami "

(4)保存配置文件

你可能感兴趣的:(笔记)