centos 等保漏洞修复
2024-10-21 19:38:36
一、设置密码复杂度
[root@localhost ~]# vi /etc/pam.d/system-auth
password requisite pam_pwquality.so try_first_pass local_users_only retry=3 authtok_type= minlen=8 lcredit=-1 ucredit=-1 dcredit=-1 ocredit=-1 difok=5 enforce_for_root 参数说明:
负数:代表最少出现次数,
正数:代表最多出现次数
minlen = 8,密码长度至少8位;
lcredit=-1,至少包含一个小写字母;
ucredit=-1,至少包含一个大写字母;
dcredit=-1,至少包含要给数字;
ocredit=-1,至少包含一个特殊字符;
difok=5,新密码最多与旧密码重复5个字符;
enforce_for_root,对root强制执行密码复杂度策略。
二、设置登陆会话超时
测评指标:身份鉴别
测评结果:未在/etc/profile中设置TMOUT数值。
修复建议:建议设置用户登录超时锁定时间,空闲一定时间后自动退出。
[root@localhost ~]# vi /etc/profile
# 追加以下部分
echo "export TMOUT=180"
[root@localhost ~]# source /etc/profile
三、设置登陆失败锁定
测评指标:身份鉴别
测评结果:未在/etc/pam.d/system-auth中配置操作系统账户锁定策略;
修复建议:建议合理配置登录失败处理功能,对登录次数和锁定时间进行合理配置,如:登录失败次数5次,登录失败锁定时间30分钟。
连续五次密码错误,账号将被锁定半小时
[root@localhost ~]# vi /etc/pam.d/system-auth
auth required pam_tally2.so onerr=fail deny=5 unlock_time=1800 root_unlock_time=1800 此项配置只对控制台有效,ssh无效。
如果需要对ssh远程有效,则需要修改 /etc/pam.d/sshd
[root@localhost ~]# vi /etc/pam.d/sshd
auth required pam_tally2.so onerr=fail deny=5 unlock_time=1800 root_unlock_time=1800 参数说明:
onerr=fail 表示定义了当出现错误时的缺省返回值;
deny 表示设置普通用户和root用户连续错误登陆的最大次数,超过最大次数,则锁定该用户;
unlock_time 表示设定普通用户锁定后,多少时间后解锁,单位是秒;
root_unlock_time 表示设定root用户锁定后,多少时间后自动解锁否则手动,单位是秒;
四、设置密码有效期
测评指标:用户帐户和环境
测评结果:未在/etc/login.defs中配置
修复建议:在/etc/login.defs文件中将PASS_MAX_DAYS参数设置为365:
[root@localhost ~]# vi /etc/login.defs
#密码的最大有效期
PASS_MAX_DAYS 365
#是否可修改密码,多少天后可修改
PASS_MIN_DAYS 0
#密码最小长度,pam_pwquality设置优先
PASS_MIN_LEN 8
#密码失效前多少天在用户登录时通知用户修改密码
PASS_WARN_AGE 15 以上设置只针对新用户生效,老用户不生效
#以下为老用户生效
[root@localhost ~]# chage -M 180 用户名
最新文章
- css3动画由浅入深总结
- 李洪强iOS开发之【零基础学习iOS开发】【02-C语言】02-第一个C语言程序
- SQLite多线程写锁文件解决方案
- SlidingMenu侧换菜单的导入
- 敏捷软件开发模型--SCRUM
- ajax数据显示,使用js通用模板
- .NET Core在WindowsServer服务器部署及发布
- (一)java多线程之Thread
- CSS揭秘—透明边框(一)
- 解决Jenkins运行robot framework selenium脚本不打开浏览器的问题
- dba_segements 没有所有的表的信息
- 手动安装sublime text3 文本编辑器是控制台
- Unable to preventDefault inside passive event listener
- ElasticSearch 索引 剖析
- NDK toolchain对应ABI
- form的action属性值对应servlet的web.xml的url-pattern
- CVE-2011-0104 Microsoft Office Excel缓冲区溢出漏洞 分析
- pip使用代理下载
- python2.7入门---运算符 &;案例
- PHP自动加载功能原理解析