统信UOS二级等保小结

1.所有服务器关闭掉多余服务及端口

netstat -naltpu

#cupsd服务  TCP 631端口
systemctl stop cups
systemctl disable cups
systemctl status cups

#nmbd服务 UDP 137、138端口
systemctl stop nmbd
systemctl disable nmbd
systemctl status nmbd

#samba服务
systemctl stop smbd
systemctl disable smbd
systemctl status smbd

2.所有服务器设置强密码策略

#设置密码复杂度  
sudo apt-get -y install libpam-pwquality cracklib-runtime
cp /etc/pam.d/common-password /etc/pam.d/common-password.bak
sed -i 's/^.*pam_cracklib.*$/password        requisite                       pam_pwquality.so retry=3 enforce_for_root minlen=8 minclass=4 maxsequence=3 maxrepeat=3/' /etc/pam.d/common-password 

#或者:
password        requisite                       pam_cracklib.so retry=3 minlen=8 ucredit=-1 lcredit=-1 dcredit=-1 ocredit=-1

注意!做完此项操作后 要验证一下效果。比如 echo uos:xxx123456 | chpasswd
如果上面操作报错,请检查有没有安装  pam_pwquality.so 或 pam_cracklib.so 对应的模块
#服务器账号每3个月一改。 
sed -i '/^PASS_MAX_DAYS/c\PASS_MAX_DAYS   '90'' /etc/login.defs
sed -i '/^PASS_MIN_DAYS/c\PASS_MIN_DAYS   '6'' /etc/login.defs
sed -i '/^PASS_WARN_AGE/c\PASS_WARN_AGE   '30'' /etc/login.defs

#查看账号信息,如果发现是99999天,则需修改 /etc/shadow的末尾几个数字, 可参考 http://c.biancheng.net/view/840.html
chage -l uos 

3.所有服务器设置TMOUT超时登录时间 ;连续登陆失败5次后 锁用户10分钟

#连续登陆失败5次后 锁用户10分钟
cp /etc/pam.d/login /etc/pam.d/login.bak
sed -i '1i auth     required       pam_tally2.so deny=5 unlock_time=600  even_deny_root root_unlock_time=600' /etc/pam.d/login

cp /etc/pam.d/sshd /etc/pam.d/sshd.bak
sed -i '1s/^/auth required pam_tally2.so deny=5 unlock_time=600 even_deny_root root_unlock_time=600 \n/' /etc/pam.d/sshd

#设置TMOUT 10分钟
if [ -f /etc/profile ];then
 grep -q "^export TMOUT=600" /etc/profile || echo "export TMOUT=600" >> /etc/profile
fi
source /etc/profile
4、禁止root远程登录 、超时自动退出
cp /etc/ssh/sshd_config /etc/ssh/sshd_config.bak
# 禁止root远程登陆
sed -i  's/PermitRootLogin yes/PermitRootLogin no/g'   /etc/ssh/sshd_config 


#超时自动退出 。 最久600秒
if [ -f /etc/profile ];then
	grep -q "^export TMOUT=120" /etc/profile || echo "export TMOUT=120" >> /etc/profile
fi

5、建立三权分立账号 (三权分立最好用专门的软件或者涉密机弄三权分立)

useradd -m secManager -d /home/secManager -s /bin/bash
echo secManager:xxx | chpasswd

useradd -m secAudit -d /home/secAudit -s /bin/bash
echo secAudit:xxx | chpasswd 

useradd -m majorAccount -d /home/majorAccount -s /bin/bash
echo majorAccount:xxx | chpasswd 

6、UOS终端 需要对审计日志备份,并且确保备份文件保存时间满足6个月(26周)以上

#修改/etc/logrotate.conf 和 /etc/logrotate.d/rsyslog ,将audit的绝对路径也加进去。
weekly
rotate 26

#安装auditd服务:
apt install -y auditd
echo "-w /etc/passwd -p rwxa" >> /etc/audit/rules.d/audit.rules
echo "-w /etc/shadow -p rwxa" >> /etc/audit/rules.d/audit.rules

systemctl restart auditd.service
systemctl enable auditd.service

auditctl -s
auditctl -l

#切26份日志,创建备份日志文件夹
logrotate -vf /etc/logrotate.d/rsyslog
#然后重复25次:
logrotate -vf /etc/logrotate.d/rsyslog && cp /var/log/audit/audit.log.1 /var/log/audit/audit.log

7、控制服务访问的源地址范围

 等保里面需要控制服务器登入地址范围,通过hosts.allow或hosts.deny设置。
 配置不允许该ip ssh登入,在hosts.deny添加行。例:sshd:192.168.100.1

8、日志异地备份 syslog服务器(略)

使用华为云 安恒日志审计

其他

华为云平台提供的服务: 1、异地备份。 2、安恒杀软。 3、安恒日志审计。 4、数据库审计

数据库方面(操作略):
开启SSL连接;超过空闲时间退出会话;非法登陆策略(密码错5次锁用户);重命名默认账户;

禁止默认账户远程登陆数据库;开启数据库审计;数据库限制远程访问IP

参考:https://blog.csdn.net/weixin_43558404/article/details/118712111 和 统信技术支持

你可能感兴趣的:(运维,linux,二级等保,UOS)