linux基线修改

1.问题：无密码定期更换策略，无密码长度要求；

建议：使用命令cat /etc/login.defs，
修改：
PASS MAX_DAYS 90 #登录密码有效期90天，
PASS MIN_DAYS 0 #登录密码最短修改时间为0天，
PASS MIN_LEN 8#登录密码最小长度8位，
PASS WARN_AGE 7 #登录密码过期提前7天提示修改；

2.问题：无密码复杂度策略

/etc/security/pwquality.conf
修改：
difok=2新旧密码不同位数为2，
ucredit=-1至少一个大写字母，
lcredit=-1至少一个小写字母，
dcredit=-1至少一个数字，
ocredit=-1至少一个特殊字符

3.问题：无登录失败处理功能；

建议：使用命令/etc/pam.d/system-auth，
修改： account required pam_tally2.so deny=3 unlock_time=600 even_deny_root

pam_tally2.so：这是用于记录和检查用户登录失败次数的 PAM 模块。
deny=3：这表示如果用户连续失败的登录尝试次数达到 3 次，账户将被锁定。
unlock_time=600：这指定了账户被锁定后自动解锁的时间，以秒为单位。在这里，600 秒等于 10 分钟。
even_deny_root：该选项表示即使是 root 用户也会受到登录失败次数限制的影响。

4.问题：无登录超时退出功能；

建议：在/etc/profile中设置了超时锁定参数，配置为TMOUT= 600s。