ubuntu 安全策略(等保)

最新推荐文章于 2025-03-31 11:09:44 发布
最新推荐文章于 2025-03-31 11:09:44 发布
阅读量586 收藏 4
点赞数 3
分类专栏: linux ubuntu 文章标签: ubuntu linux 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/Henry_Wu001/article/details/145843257
版权

windows

  1. 三个帐号
  2. 屏保设置
  3. 组策略,密码超时次数/审计记录;

linux

应具有登录失败处理功能,应配置并启用结束会话、限制非法登录次数和当登录连接超时自动退出等相关措施。

1、在系统中新建测试用户,使用此用户登录时多次输入错误密码,核查登录失败处理功能是否成功启用;
2、以 root 权限账户登录系统,使用命令#cat /etc/pam.d/system-auth(或#cat /etc/pam.d/sshd),查看文件中是否配置登录失败锁定策略,并对 root 用户生效。
/etc/pam.d/system-auth

针对root用户,3次密码错误,拒绝登录60秒
添加在 common-auth 首行

auth required pam_tally2.so deny=3 unlock_time=60 even_deny_root root_unlock_time=60

3、使用命令#cat /ete/profile 或/etc/profile.d/autologout.sh,查看文件中是否存在TMOUT=1800字段:

4、测试长时间不进行操作,查看系统是否能自动退出。
整改方法:
在/etc/profile 的尾末添加上 TMOUT=90(秒)(可修改为等保要求内的时间)

vi /etc/profile 增加: TMOUT=1800 这样30分钟没操作就自动LOGOUT

通过 vim /ets/pam.d/system-auth 进入编辑在第二行添加内容even deny root也限制root 用户:(
设置普通用户和 root用户连续错误登陆的最大次数,超过最大deny次数,则锁定该用户eunlock timeroot unlock time
设定普通用户锁定后,多少时间后解锁,

Append禁止远程用root登录,但允许其他用户登录后切换为root

要允许其他用户通过 SSH 登录并在登录后切换为 root 用户,你可以按照以下步骤操作:

  1. 创建一个普通用户,并确保用户在 sudo 组中
    如果你还没有普通用户,可以创建一个:
sudo adduser username

按照提示设置密码和用户信息。

将用户添加到 sudo 组,以便能够切换到 root:

sudo usermod -aG sudo username
  1. 确保 SSH 配置正确
    首先,确认 PermitRootLogin 设置为 no,以禁止直接使用 root 用户远程登录:
sudo nano /etc/ssh/sshd_config

确保以下行存在并设置为 no:

PermitRootLogin no

找到 Port 行,然后设置为你想要的端口号。例如,要将端口更改为 10000:

Port 10000
  1. 重新启动 SSH 服务
    使配置更改生效:
sudo systemctl restart ssh
  1. 通过 SSH 登录
    使用普通用户通过 SSH 登录到服务器:
    切换到 root 用户
    登录后,你可以使用 sudo 命令切换到 root 用户:

SQL注入检查

  1. python .\sqlmap.py -r .\aa.txt

  2. python .\sqlmap.py -r .\aa.txt --sql-query=“select db_name()”

  3. python .\sqlmap.py -r .\aa.txt --random-agent --batch --sql-query=“SELECT t.name, NULL FROM ddd_rms.sys.tables AS t”

网安等保-主机安全测评之Linux服务器Ubuntu-22.04-LTS操作系统安全加固制作基线系统脚本分享与实践...
WeiyiGeek 唯一极客IT知识分享
08-25 2518
关注WeiyiGeek每天带你玩转网络安全运维、应用开发、物联网IOT学习!0x00 前言简述0x01 加固实践📖 帮助文档🏃 脚本使用0x00 前言简述描述: Ubuntu 22.04 LTS 是Canonical于2022年4月21日发布的操作系统,代号为Jammy Jellyfish(果酱水母), 其采用GNOME电源配置文件和流线型工作空间过渡,提高优化图形驱动程序上的桌面帧速率,使用新的加密算法迁移到OpenSSL v3以提高安全性,并且为内存安全的系统级编程添加了Rus。.........
如何利用Shell脚本对Ubuntu操作系统进行常规初始化和系统优化及其安全加固(适用于等保2.0)
WeiyiGeek 唯一极客IT知识分享
04-11 1428
Ubuntu 20.04 系统初始化安全加固 描述: 适用于企业内部 Ubuntu 系列服务器操作系统初始化、系统安全加固脚本,内容包含了,网络初始化设置,软件更新源替换以及内核版本升级 ,时间时区初始化设置 系统安全加固(等保三级操作系统主机检查项) 安全运维设置 系统内核参数 常用软件安装等 一系列的操作直接开箱即用, 将跑过该脚本的机器可以克隆成为作为线上生产环境的基线模板。 原文链接: 完整的Windows与Linux服务器系统安全加固实践和基线检测脚本(等保2.0)( https://mp.wei
Ubuntu(乌班图)等保测评手册指南(内附测评所有命令)
weixin_47123940的博客
02-02 9093
Ubuntu默认只能以普通权限账户登录,无法直接登录root账户,所以很多要用到管理员权限的命令加sudo。 这里还得先知道管理员root的密码。 网卡的状态查看 service networking status | 可更换(reload/up/down) 查看Ubuntu版本 cat /etc/issue 找文件 find | grep 1.txt(示例) 查看所有开放的端口 netstat -aptn (tips:使用netstat命令时需先安装 net-tools工具) 看ip ifconfig c
linunx加固脚本限制超级管理员远程登录_Linux安全加固
weixin_39658019的博客
11-03 549
原创:kid合天智汇上次整理了 基于等保三级的win server 2012的加固方案(Windows安全加固)这次是基于等保三级的Linux方案众所周知,Linux有很多版本,就目前我看到的,大部分用的是centos6.5 到7其次是Ubuntu16.5和14等命令及部分文件都有差异,所以方案的具体实施会不同。因此,这里列出的没那么细致,但包含基本的方向。方案分为身份鉴别、访问控制、安全审计、资...
Ubuntu 服务器安全加固指南
gitblog_00944的博客
03-31 978
Ubuntu 服务器安全加固指南 hardening Hardening Ubuntu. Systemd edition. 项目地址: https://gitcode.com/gh_mirrors/ha/hardening ...
Ubuntu20LTS 服务搭建与安全加固
Flynn的博客
02-18 2789
Ubuntu常用服务DNS,DHCP,APACHE,FTP,MYSQL的详细搭建和安全加固
安全加固脚本及解析等保2.0(仅供参考)
哈哈虎的博客
04-14 1959
等保 2.0 要求加固 linux 系统,网上找来这个。cp 下来直接使用的时候,有几个 undefined 错误,所以,重新排版转载
ubuntu服务器基本安全配置
Sp4rkW的博客
11-19 6682
ummm,学院的一个月赛,关于linux的安全配置,学习一些之前不了解的知识,这里记录下注释:所以配置位于个人购买的腾讯云服务器,部分步骤为博客地址(个人以前写的,附截图的,这里就直接放个人博客的链接)1.安装apache+php+mysql环境http://blog.youkuaiyun.com/wy_97/article/details/780455412.修改使得可以用root用户登录:http://bl
07-等保三级-Ubuntu 16合规基线检查
03-25
我们可以配置登陆失败锁定策略,编辑 /etc/pam.d/common-auth 文件,在非注释行的第一行添加以下行,以限制非法登录次数和当登录连接超时自动退出。 此外,我们还可以设置系统登陆不活动连接超时退出,编辑 /etc/...
等保主机安全基线合规--配置指导linux系统.pdf
07-31
身份鉴别策略组检测 1.1 口令周期检测 1.1.1 最长使用周期小于等于90天 1.1.2 最短更换周期大于等于2天 1.1.3 距失效提示天数大于等于5天 1.2 密码复杂度检测 1.2.1 密码复杂性要求 1.3 登录锁定检测 1.3.1 ...
Ubuntu操作系统等保测评指南
qq_40181198的博客
04-17 5735
Ubuntu操作系统等保测评指南
用户密码重复使用限制策略
qq_44659804的博客
12-19 2768
linux 用户密码策略
linux中/etc/pam.d/system-auth文件详解
热门推荐
ghjzzhg的博客
07-01 5万+
密码设置及登陆控制文件位置:/etc/pam.d/system-auth, 示例文件内容如下: auth required pam_securetty.so auth required pam_unix.so shadow nullok auth required pam_nologin.so account required pam_unix.so ...
linux的CentOS操作系统密码复杂度策略设置(/etc/pam.d/system-auth的pam_pwquality.so模块)
hjxloveqsx的博客
02-10 3173
在/etc/pam.d/system-auth上找到pam_pwquality.so模块的行。
等保测评Linux测评命令
qq_50495562的博客
04-24 8510
等保测评Linux测评命令 1.cat /etc/shadow查看口令,查看账户 2.cat /etc/ssh/ssh_config permitemptypasswords 注释或者后面加no 不允许空口令远程登录 3.cat /etc/pam.d/system-auth 查看密码复杂度 grep pam_cracklib.so模块查看,centos7之后是pam_pwquality.so模块。限制root用户,添加 enforce_for_root 密码复杂度配置详解 4.cat /etc
linux中的/etc/pam.d/system-auth的默认配置
Hello World
07-26 1772
pam_keyinit.so` 初始化用户会话,`pam_limits.so` 应用用户限制,`pam_succeed_if.so` 允许特定服务(如crond)在不进行认证的情况下启动会话,`pam_unix.so` 用于设置用户环境。`pam_env.so` 设置环境变量,`pam_unix.so` 允许使用传统的UNIX密码认证,`pam_succeed_if.so` 允许UID大于或等于1000的用户安静地(无提示)登录,`pam_deny.so` 拒绝所有认证尝试。
LinuxUbuntu登录账户时多次输错密码锁定账户策略
m0_51706315的博客
05-31 8543
一、编辑PAM的配置文件 vim /etc/pam.d/sshd(ssh远程登录) vim /etc/pam.d/login (终端窗口登录) 二、在第二行添加 只设置普通用户 auth required pam_tally2.so deny=3 unlock_time=5 设置普通用户和root用户 auth required pam_tally2.so deny=3 unlock_time=5 even_d...
Ubuntu2204配置连续失败后账户锁定
debugcool的博客
09-05 1225
配置启用pam_faillock。在最上面添加以下内容。
ubuntu等保测评命令
最新发布
05-14
此操作会自动应用一系列预定义的安全策略并最终触发系统重启以生效。 #### 2. **日志管理** 对于日志管理而言,可以利用以下命令来检查相关服务的状态: - `systemctl status rsyslog`:适用于Ubuntu 18及以上版本...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值