三级等保整改服务器整改

MariaDB/MySQL用户和权限管理 - 骏马金龙 - 博客园


最完整的MySQL、MariaDB创建用户,设置密码、设置各种权限语法演示,超简单_坐公交也用券-CSDN博客_mariadb设置用户密码

Linux等保三级整改 – 众客华禹

参考如上,其他的服务器默认配置即可

一、身份鉴别

1. 应对登录的用户进行身份标识和鉴别,身份标识具有唯一性,身份鉴别信息具有复杂度要求并定期更换。

/etc/login.defs 是设置用户帐号限制的文件。该文件里的配置对root用户无效。/etc/login.defs 文件用于在Linux创建用户时,对用户的一些基本属性做默认设置,例如指定用户 UID 和 GID 的范围,用户的过期时间,密码的最大长度,等等。

修改vim /etc/login.defs文件

#vim /etc/login.defs
PASS_MAX_DAYS   90          # 密码最长过期天数
PASS_MIN_DAYS   2          # 密码最小过期天数
PASS_MIN_LEN    8         # 密码最小长度
PASS_WARN_AGE   7          # 密码过期警告天数

2. 应具有登录失败处理功能,应配置并启用结束会话、限制非法登录次数和当登录连接超时自动退出等措施

修改/etc/pam.d/system-auth文件

# vim /etc/pam.d/system-auth

account required pam_tally2.so deny=3 no_magic_root reset

参数含义:
deny=3 设置登录失败3次就将 用户锁住,该值可任意设定。

vi /etc/profile

在文件的最后添加如下语句:

export TMOUT=600

含义:空闲等待时间

二、访问控制:

vi /etc/ssh/sshd_config

PermitRootLogin no

说明:不允许root账户登录,只能以普通账户登录,然后切换到root账户

三、入侵防范

创建审计管理员

useradd audit;usermod -G audit audit
passwd audit

密码自己设定

设置审计管理员权限

visudo

audit ALL=(root) NOPASSWD: /usr/bin/cat , /usr/bin/less , /usr/bin/more , /usr/bin/tail , /usr/bin/head, /usr/sbin/service auditd start, /usr/sbin/service auditd stop, /usr/bin/systemctl status auditd
 

设置审计管理员只读权限,并可以控制auditd进程

数据库设定审计账户:

GRANT SELECT ON *.* TO 'audit'@'%' IDENTIFIED BY 'audit@123';

直接设置并创建audit账户,并授权只读操作,该语句可直接刷新权限,不用再flush

你可能感兴趣的:(linux)