Centos类型服务器等保测评整/etc/pam.d/system-auth

已于 2025-01-22 11:21:41 修改
阅读量1k 收藏 13
点赞数 16
分类专栏: LINUX 文章标签: java github 前端
于 2025-01-22 11:21:15 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/eagle89/article/details/145299843
版权

修改服务器配置文件/etc/pam.d/system-auth,但是,把一下配置放在password的配置第一行才会生效

  1. 执行命令:配置口令要求:大小写字母、数字、特殊字符组合、至少8位,包括强制设置root口令!

sed -i '14a  password    requisite     pam_pwquality.so try_first_pass local_users_only retry=3 authtok_type= minlen=8 lcredit=-1 ucredit=-1 dcredit=-1 ocredit=-1 difok=5 enforce_for_root' /etc/pam.d/system-auth

  1. 修改配置/etc/login.defs文件(注:这里文件配置未能进行强制要求,只能做形式使用)

命令:

sed -i 's/PASS_MIN_LEN.*$/PASS_MIN_LEN    8/g' /etc/login.defs

配置口令过期策略

  1. 修改配置/etc/login.defs文件(注:这里修改配置文件仅对后期新建得账户有效,root账户无效)

sed -i 's/PASS_MAX_DAYS.*$/PASS_MAX_DAYS   90/g' /etc/login.defs

  1. root账户口令过期方法,可参照:

Linux 正确修改账户的过期时间_pass_max_days 90-优快云博客

使用的命令:

chage -M 90 root

配置登录失败处理策略

  1. 修改配置文件:/etc/pam.d/sshd,该配置仅对采用SSH协议登录的方式有效

表示:登录失败5次锁定账户30分钟!

sed -i '1a auth       required     pam_tally2.so deny=5 unlock_time=1800 even_deny_root root_unlock_time=1800' /etc/pam.d/sshd

  1. 修改配置文件:/etc/pam.d/system-auth,该配置是对sudo [账户]登录方式有效,

表示:登录失败5次锁定账户30分钟!

sed -i '3a auth        required      pam_tally2.so deny=5 unlock_time=1800 even_deny_root root_unlock_time=1800' /etc/pam.d/system-auth

  1. 其实登录失败还需要更改一个文件,但不建议,该文件为限制终端界面的操作登录失败处理策略!实际运维中,均是采用SSH协议、sudo方式进行登录服务器,如修改该配置,出现问题,无法使用操作界面登录服务器!

修改配置文件:/etc/pam.d/login

sed -i '2a auth       required pam_tally2.so deny=5 unlock_time=1800 even_deny_root root_unlock_time=1800' /etc/pam.d/login

修改日志配置,保证至少六个月存储时间

命令,但这种配置不合理,尽量定期备份,或者搭建日志服务器实时收集日志!(注:备份脚本请参考:等保2.0之Linux系统日志备份_linux审计记录保存180天-优快云博客

sed -i 's/rotate.*$/rotate 30/g' /etc/logrotate.conf

修改敏感信息泄露与登录超时自动退出策略

  1. 修改敏感信息泄露

sed -i 's/HISTSIZE=.*$/HISTSIZE=0/g' /etc/profile

  1. 登录超时10分钟无操作自动退出

echo "export TMOUT=600" >> /etc/profile

  1. 更新/etc/profile文件,才会生效

source /etc/profile

权限分配:可以新建两个账户,无强制固定权限说法

echo "Aa1@#3456789qazwsx"|passwd --stdin audit
echo "Aa1@#78903456qazwsx"|passwd --stdin operater

等保测评----LINUX主机(一)
m0_60936698的博客
07-26 417
date //查看系统时间cat /proc/version //查看系统版本号ifconfig //查看网卡ip和子网掩码测评要求:1) 应核查用户在登录时是否采用了身份鉴别措施;2)应核查用户列表确认用户身份标识是否具有唯一性;3)应 核查用户配置信息或测试验证是否不存在空口令用户;4)应核查用户鉴别信息是否具有复杂度要求并定期更换。
linux最小密码长度,等保测评主机安全之centos之密码长度
weixin_29016865的博客
05-06 1593
*本文原创作者:起于凡而非于凡,本文属FreeBuf原创奖励计划,未经许可禁止转载注:本文和等保联系其实并不大,主要还是说一些linux里细节一些的东西,而且很有可能会浪费你生命中的好几分钟……密码长度,作为等级保护主机测评项里中密码复杂度要求之一,是必须要查的。在《等级测评师初级教程》里,对于密码长度的设置指向了/etc/login.defs里的PASS_MIN_LEN字段。# PASS_MI...
linux中的/etc/pam.d/system-auth的默认配置
Hello World
07-26 1490
pam_keyinit.so` 初始化用户会话,`pam_limits.so` 应用用户限制,`pam_succeed_if.so` 允许特定服务(如crond)在不进行认证的情况下启动会话,`pam_unix.so` 用于设置用户环境。`pam_env.so` 设置环境变量,`pam_unix.so` 允许使用传统的UNIX密码认证,`pam_succeed_if.so` 允许UID大于或等于1000的用户安静地(无提示)登录,`pam_deny.so` 拒绝所有认证尝试。
linux 密码设置及登陆控制/设置密码复杂度 (/etc/pam.d/system-auth)
西京刀客
06-15 4万+
文章目录一、linux密码设置及登陆控制1. Linux中pam模块1.1 PAM的模块类型1.2 常用PAM模块介绍2. LINUX设置密码复杂度3. 用户不能使用su来进行切换用户二、参考 一、linux密码设置及登陆控制 密码设置及登陆控制文件位置:/etc/pam.d/system-auth 1. Linux中pam模块 Linux-PAM(linux可插入认证模块)是一套共享库,使本地系统管理员可以随意选择程序的认证方式。换句话说,不用重新编译一个包含PAM功能的应用程序,就可以改变它使用的认证机
等保测评Centos 7测评命令
最新发布
bubble87的博客
02-24 1012
2) 应测试验证在传输过程中对鉴别数据、重要业务数据、重要审计数据、重要配置数据、重要视频数据和重要个人信息等进行篡改,是否能够检测到数据在传输过程中的完性受到破坏并能够及时恢复。a)应采用校验技术或密码技术保证重要数据在传输过程中的完性,包括但不限于鉴别数据、重要业务数据、重要审计数据、重要配置数据、重要视频数据和重要个人信息等;b)应采用校验技术或密码技术保证重要数据在存储过程中的完性,包括但不限于鉴别数据、重要业务数据、重要审计数据、重要配置数据、重要视频数据和重要个人信息等。
linux /etc/shadow--passwd/pam.d/system-auth文件详解
weixin_34291004的博客
03-21 2412
 在linux操作系统中, /etc/passwd文件中的每个用户都有一个对应的记录行,记录着这个用户的一下基本属性。该文件对所有用户可读。   而/etc/shadow文件正如他的名字一样,他是passwd文件的一个影子,/etc/shadow文件中的记录行与/etc/passwd中的一一对应,它由pwconv命令根据/etc/passwd中的数据自动产生。但是/etc/shadow文件只有系...
linux中/etc/pam.d/system-auth文件详解
热门推荐
ghjzzhg的博客
07-01 5万+
密码设置及登陆控制文件位置:/etc/pam.d/system-auth, 示例文件内容如下: auth required pam_securetty.so auth required pam_unix.so shadow nullok auth required pam_nologin.so account required pam_unix.so ...
Linux下的/etc/pam.d/system-auth配置文件参数说明
oldboy1999的博客
12-12 1万+
Linux下的/etc/pam.d/system-auth配置文件参数说明
centOS7等保三级
09-02
这些配置通常可以在/etc/pam.d/system-auth文件中找到相关设置,例如通过auth模块配置登录失败的处理规则。 为了达到等保三级的要求,CentOS 7系统管理员必须对系统进行细致的安全配置,涵盖身份鉴别、账户管理、...
Linux系统安全加固(部分)
weixin_64227570的博客
11-19 977
理解Linux系统的测评指标,并掌握Linux系统的加固方法。Xshell(其他支持SSH协议终端) (一)登录失败处理 (二)登录失败处理 (三)远程访问安全 (四)账户安全 (五)安全审计 (六)组件及服务优化(以FTP服务器为例) (七)防火墙安全设置 (八)漏洞修补 (九)限制用户对系统资源的最大使用限度
等保测评linux常用命令(积累)
qq_47921662的博客
07-06 3324
cat /etc/selinux/config 关于安全标记(如果从强制模式(enforcing)、宽容模式(permissive)切换到关闭模式(disabled),或者从关闭模式切换到其他两种模式,则必须重启 Linux 系统才能生效,但是强制模式和宽容模式这两种模式互相切换不用重启 Linux 系统就可以生效。$6 表示SHA-512;tail -n 20 /var/log/wtmp 是一个二进制文件,记录每个用户的登录次数和持续时间等信息,永久记录每个用户登录、注销及 系统的启动、停机的事件。
Linux下/etc/pam.d/system-auth文件内容
Yonx
09-01 6954
[root@localhost ~]# cat /etc/pam.d/system-auth #%PAM-1.0 # This file is auto-generated. # User changes will be destroyed the next time authconfig is run. auth required pam_env.so auth required pam_faildelay.so delay=2000000 auth ...
修改/etc/pam.d/system-auth后无法登录ssh
dennymami的博客
04-29 4648
  1、等保加固/etc/pam.d/system-auth后无法登录ssh  应在/etc/pam.d/system-auth文件中配置:auth required /lib/security/pam_tally.so onerr=fail no_magic_root account required /lib/security/pam_tally.so deny=5 no...
linux的CentOS操作系统密码复杂度策略设置(/etc/pam.d/system-authpam_pwquality.so模块)
hjxloveqsx的博客
02-10 3069
在/etc/pam.d/system-auth上找到pam_pwquality.so模块的行。
Linux开启用户登录认证,linux PAM 用户登录认证
weixin_30304423的博客
04-30 1108
PAM(Pluggable Authentication Modules )是由Sun提出的一种认证机制。它通过提供一些动态链接库和一套统一的API,将系统提供的服务 和该服务的认证方式分开,使得系统管理员可以灵活地根据需要给不同的服务配置不同的认证方式而无需更改服务程序,同时也便于向系 统中添加新的认证手段。从本篇开始会总结一些常用的pam模块及其实现的功能,今天讲的是pam_tally2模块。...
linux用户登陆认证,linux PAM 用户登录认证
weixin_39661405的博客
05-04 536
PAM(Pluggable Authentication Modules )是由Sun提出的一种认证机制。它通过提供一些动态链接库和一套统一的API,将系统提供的服务 和该服务的认证方式分开,使得系统管理员可以灵活地根据需要给不同的服务配置不同的认证方式而无需更改服务程序,同时也便于向系 统中添加新的认证手段。从本篇开始会总结一些常用的pam模块及其实现的功能,今天讲的是pam_tally2模块。...
linux用户双重认证登录,linux PAM 用户登录认证
weixin_32566515的博客
04-29 824
PAM(Pluggable Authentication Modules )是由Sun提出的一种认证机制。它通过提供一些动态链接库和一套统一的API,将系统提供的服务 和该服务的认证方式分开,使得系统管理员可以灵活地根据需要给不同的服务配置不同的认证方式而无需更改服务程序,同时也便于向系 统中添加新的认证手段。从本篇开始会总结一些常用的pam模块及其实现的功能,今天讲的是pam_tally2模块。...
等保基线核查 ——CentOS7
weixin_43965325的博客
10-19 2542
理了等保基线核查(CentOS7)作业指导,包含测评要求和测评方法,以及理了对一些文件及参数的注释
更改/etc/pam.d/system-auth ,/etc/pam.d/password-auth,/etc/pam.d/login ,/etc/pam.d/sshd这四个配置文件让他们生效
07-28
要使更改/etc/pam.d/system-auth,/etc/pam.d/password-auth,/etc/pam.d/login,/etc/pam.d/sshd这四个配置文件生效,您需要重启相应的服务或重新加载PAM配置。具体步骤如下: 1. 重启服务:您可以通过重启相应的服务来使更改生效。例如,要使更改/etc/pam.d/sshd生效,您可以使用以下命令重启SSH服务: ``` sudo systemctl restart sshd ``` 2. 重新加载PAM配置:您也可以重新加载PAM配置以使更改生效。使用以下命令重新加载PAM配置: ``` sudo pam-config -a --service <service_name> ``` 其中,<service_name>是您要重新加载的服务的名称,如sshd、system-auth等。 请注意,重新加载PAM配置可能会导致当前登录的用户被注销,因此请确保在执行此操作之前保存所有未保存的工作。 引用\[1\]中提到了/etc/pam.d/system-auth文件的配置,您可以根据需要修改该文件中的相应行以实现所需的更改。引用\[2\]中提到了PAM配置文件的存放位置,您可以在相应的文件中进行修改。引用\[3\]中提到了密码过期和密码复杂度的配置,您可以根据需要在相应的文件中添加或修改这些配置。 请注意,对于不同的Linux发行版和服务,PAM配置可能会有所不同,因此请确保参考您所使用的系统的官方文档或相关资源进行正确的配置。 #### 引用[.reference_title] - *1* [linux的CentOS操作系统密码复杂度策略设置(/etc/pam.d/system-authpam_pwquality.so模块)](https://blog.csdn.net/hjxloveqsx/article/details/128974994)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^insert_down28v1,239^v3^insert_chatgpt"}} ] [.reference_item] - *2* [/etc/pam.d 与 /etc/security](https://blog.csdn.net/weixin_33586594/article/details/117007836)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^insert_down28v1,239^v3^insert_chatgpt"}} ] [.reference_item] - *3* [Linux下的/etc/pam.d/system-auth配置文件参数说明](https://blog.csdn.net/oldboy1999/article/details/128283411)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^insert_down28v1,239^v3^insert_chatgpt"}} ] [.reference_item] [ .reference_list ]
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值