linux安全整改项

1. 服务器操作系统配置口令使用期限;配置口令复杂度校验功能

vim /etc/login.defs 如下配置

PASS_MAX_DAYS90
PASS_MIN_DAYS2
PASS_MIN_LENS8
PASS_WARN_AGE7

/etc/shadow

将存量用户的口令使用期限设置为90或180天

/etc/pam.d/system-auth

（需放置于passwordrequired pam_deny.so的前面）：password requisite pam_pwquality.so try_first_pass local_users_only retry=3 authtok_type= minlen=8 lcredit=-1 ucredit=-1 dcredit=-1 ocredit=-1 enforce_for_root，并修改存量用户的弱口令以符合现有口令策略。（centos 7以上版本）

2. 配置登录失败处理功能;设置空闲会话时间

/etc/pam.d/system—auth文件和/etc/pam.d/sshd

文件中的第一行均设置

auth required pam_tally2.so onerr=fail deny=5 unlock_time=600 even_deny_root root_unlock_time=600

（注：/etc/pam.d/system—auth、/etc/pam.d/sshd两个文件均需配置，并置于第一行）

/etc/profile 如下配置：

设置超时锁定参数export TMOUT= 600；并在下一行增加：readonly TMOUT。(修改profile文件后需执行source /etc/profile)

3.限制默认账户的访问权限

/etc/ssh/sshd_config 如下配置：

配置PermitRootLogin为no

修改后重启sshd ：

 
service sshd restart 或者 systemctl restart sshd.service

4.配置audit审计规则

/etc/rsyslog.conf

添加系统日志文件，加上：*.warning /var/log/syslog

/etc/audit/audit.rules

配置audit审计规则，新增内容如下：

-w /etc/at.allow -p rwxa
-w /etc/at.deny -p rwxa
-w /etc/inittab -p wa
-w /etc/init.d -p rwxa
-w /etc/init.d/auditd -p wa
-w /etc/cron.d -p wa
-w /etc/cron.daily -p wa
-w /etc/cron.hourly -p wa
-w /etc/cron.monthly -p wa
-w /etc/cron.weekly -p wa
-w /etc/crontab -p wa
-w /etc/group -p wa
-w /etc/passwd -p wa
-w /etc/shadow -p rwxa
-w /etc/sudoers -p wa
-w /etc/hosts -p wa
-w /etc/sysconfig -p rwxa
-w /etc/sysctl.conf -p wa
-w /etc/modprobe.d -p rwxa
-w /etc/aliases -p wa
-w /etc/bashrc -p wa
-w /etc/profile -p wa
-w /etc/profile.d -p rwxa
-w /var/log/lastlog -p rwxa
-w /var/log/yum.log -p rwxa
-w /etc/issue -p wa
-w /etc/issue.net -p wa
-w /usr/bin -p wa
-w /usr/sbin -p wa
-w /bin -p wa
-w /etc/ssh/sshd_config -p rwxa

* 需要注意的是：修改后，需重启auditd服务生效：

service auditd reload或service auditd restart

5.审计记录留存时间不足六个月，未配置日志服务器或日志审计系统对审计记录进行实时收集保护

1）/etc/logrotate.conf 如下配置

修改rotate参数，保存后通过servicersyslog restart命令重启rsyslog进程，保证审计记录留存时间至少为6个月

2）/etc/audit/auditd.conf 如下配置

修改max_log_file =500（500M仅为参考值，示实际情况设置） num_logs = 98（只有在max_log_file_action=rotate时该选项才有意义，且num_logs值必须是0~99之间的数），保证auditd日志留存时间超过半年。

注：当修改配置文件后，需要重启auditd服务（service auditd reload或service auditd restart）

3）/etc/rsyslog.conf 如下配置：

配置日志服务器或日志审计系统实时收集操作系统的审计日志，linux系统可在rsyslog.conf配置文件的最后新增一行：

*.emerg;*.alert;*.crit;*.err;*.warning;*.notice;*.info;*.debug @1.1.1.1（#:设置为实际日志服务器的ip；）

并重新启动rsyslog服务；# systemctl restart rsyslog或/etc/init.d/rsyslog restart

6.在主机操作系统层面限制操作系统的远程管理IP地址。

方法一：开启主机防火墙（Linux中有两种防火墙软件，ConterOS7.0以上使用的是firewall），并配置访问控制策略，建议限制仅能通过堡垒机管理服务器。

systemctl stauts firewalld --查看防火墙状态

参考链接：https://blog.youkuaiyun.com/weixin_39986973/article/details/110459552

方法二：/etc/hosts.allow及 /etc/hosts.deny中配置访问控制策略，建议限制仅能通过堡垒机管理服务器

/etc/hosts.allow

sshd:19.*:allow
sshd:192.168.*:allow
sshd:172.40.*:allow
sshd:10.116.*:allow
sshd:172.0.*:allow

/etc/hosts.deny

sshd:all