《Linux运维实战：Centos7.6系统用户安全策略管理》

---

一、背景信息

由于公司在做二级等保，关于主机操作系统的一些问题需要整改，这里列出了一些，整改方案和整改操作可参考如下内容。

注意事项：建议在进行操作时备份需要修改的文件，切记一定要多开几个终端，避免操作失败无法连接服务器。

---

二、问题描述

问题一、该中间件所在操作系统未配置符合要求的密码策略，口令最小长度设置为8位，未设置定期更换口令。
问题二、该中间件所在操作系统未设置允许登录尝试次数、未设置锁定时间等策略。
问题三、该数据库未重命名默认账户，存在默认账户：root。
问题四、该操作系统未启用日志审计功能，auditd.service为 inactive状态。
问题五、该操作系统审计记录保存时间未达到半年以上。
问题六、该中间件所在操作系统未限制终端接入范围。

---

三、整改方案

问题一整改方案：建议中间件所在操作系统配置符合要求的密码策略（口令最小长度为8位，包含数字，字母，特殊字符其中两种或两种以上组合），设置定期更换口令，周期为90天。

问题二整改方案：建议中间件所在操作系统配置合理的登陆失败处理功能参数，配置并启用结束会话、限制非法登录次数和连接超时自动退出等措施。

问题三整改方案：建议中间件所在操作系统修改默认账户。

问题四整改方案：建议该操作系统启用日志审计功能，auditd.service为active状态，对用户登录、退出、策略更改、系统事件等重要安全事件进行审计。

问题五整改方案：建议操作系统限制审计文件的访问控制权限，对审计记录进行保护，使用日志服务器对审计记录进行定期存档备份，避免受到未预期的删除、修改或覆盖，建议审计记录保存期限在半年以上(可在/etc/logrotate.conf中修改rotate的值为25)。

问题六整改方案：建议该操作系统设定终端接入方式、网络地址范围等条件限制终端登录（如：AIX系统可在/etc/hosts.allow或/etc/hosts.deny文件中允许或拒绝某个地址通过telnet或SSH方式进行登录等。限制终端登录的网络地址范围和接入方式，可以有效防止非法用户的访问）。

---

四、整改操作

4.1、问题一整改操作

# 1、备份操作：修改前备份文件
cp /etc/login.defs /etc/login.defs.bak
cp /etc/pam.d/system-auth /etc/pam.d/system-auth.bak

# 2、在/etc/login.defs配置，设置密码长度和定期更换要求
vim /etc/login.defs
PASS_MAX_DAYS 90；#密码的最大有效期, 99999:永久有期
PASS_MIN_DAYS 0；#是否可修改密码,0可修改,非0多少天后可修改
PASS_WARN_AGE 7； #密码失效前多少天在用户登录时通知用户修改密码
PASS_MIN_LEN 8；#密码最小长度,使用pam_cracklib module,该参数不再有效

# 3、在/etc/pam.d/system-auth文件设置密码长度和复杂度要求
vim /etc/pam.d/system-auth
password requisite pam_cracklib.so minlen=8 ucredit=-2 lcredit=-1 dcredit=-4 ocredit=-1

如下图所示：

说明：minlen=8 ucredit=-2 lcredit=-1 dcredit=-4 ocredit=-1（至少8个字符，最少2个大写字母，最少1小写字母，最少4个数字，至少1个特殊字符）。

测试方案：使用非root用户登录，执行passwd命令

说明：上述配置只对非root用户生效。

---

4.2、问题二整改操作

# 1、备份操作：修改前备份文件
cp /etc/pam.d/login /etc/pam.d/login.bak

# 2、修改文件/etc/pam.d/login
vim /etc/pam.d/login
auth required pam_tally2.so deny=5 unlock_time=300 even_deny_root root_unlock_time=600

# 3、在/etc/profile 设置TMOUT=300
vim /etc/profile
TMOUT=300
source /etc/profile

# 4、参数说明：
Deny：普通用户锁定次数
unlock_time：普通用户锁定后解锁要等待的时间
even_deny_root：root用户一样被锁定
root_unlock_time：root用户锁定后解锁要等待的时间

如下图所示：

---

4.3、问题三整改操作

# 1、备份操作：修改前备份文件
cp /etc/passwd cp /etc/passwd.bak
cp /etc/shadow /etc/shadow.bak

# 2、修改/etc/passwd和/etc/shadow文件的第一个root

如下图所示：

---

4.4、问题四整改操作

systemctl start auditd.service

---

4.5、问题五整改操作

# 1、备份操作
cp /etc/logrotate.conf /etc/logrotate.conf.bak

# 2、在/etc/logrotate.conf中修改rotate的值为25
rotate 25

---

4.6、问题六整改操作

# 1、备份操作
cp /etc/hosts.allow /etc/hosts.allow.bak
cp /etc/hosts.deny /etc/hosts.deny.bak

# 2、整改操作
vi /etc/hosts.allow 
sshd: 10.10.20.0/24 211.18.131.11/32

vi /etc/hosts.deny
sshd: ALL

说明：建议在操作前多开几个终端，避免连接不上服务器。

---

总结：整理不易，如果对你有帮助，可否点赞关注一下？

更多详细内容请参考：Linux运维实战总结