ubuntu20.04服务器安全策略设定

琉璃2年前技术文章3108

密码策略

1、经核查,服务器用户身份标识唯一,口令存储在服务器中采用SHA512算法,服务器配置口令复杂度,口令要求8位以上,字母、数字、特殊字符组成,口令180天定期更换。

# SHA512算法查看

cat /etc/login.defs |grep ENCRYPT_METHOD

image.png

#口令180天更换

 cat /etc/login.defs |egrep -v  "#" |grep PASS_MAX_DAYS

image.png

# 密码负载度策略查看,看password那一栏是否引入pam_cracklib.so参数

需要先安装模块

apt-get update&&apt-get install libpam-cracklib

编辑/etc/pam.d/common-password,在password requisite pam_cracklib.so开头的这一行配置minclass(至少包含小写字母、大写字母、数字、特殊字符等4类字符中的3类或4类)设置为3或4,即在行末尾加上参数minclass=3;在password [success=1 default=ignore] pam_unix.so开头的这一行增加配置minlen(密码最小长度)设置为8-32位,建议为10,即在行末尾加上参数minlen=10

image.png


登录超时设定

2、经核查,服务器启用登录失败功能,登录失败3次后用户锁定20分钟,root用户锁定20分钟,启用登录连接超时自动退出功能,超时10分钟自动退出。

vim /etc/pam.d/login

添加:

auth required pam_tally2.so deny=3 unlock_time=1200  even_deny_root root_unlock_time=1200

参数介绍:

1.auth required pam_tally2.so    #是固定的

2.deny   #设置普通用户和root用户连续错误登陆的最大次数,超过最大次数,则锁定该用户

3.unlock_time  #设定普通用户锁定后,多少时间后解锁,单位为秒

4.root_unlock_time  #设定root用户锁定后,多少时间后解锁,单位是秒

image.png

编辑/etc/ssh/sshd_config

10分钟空间超时 退出,最多3个活跃用户登录设置如下:将ClientAliveInterval 设置为300到900,即5-15分钟,将ClientAliveCountMax设置为0-3之间。

10分钟空间超时 退出,最多两个活跃用户登录

ClientAliveInterval 600
ClientAliveCountMax 2


image.png

在/etc/ssh/sshd_config中取消MaxAuthTries注释符号#,设置最大密码尝试失败次数3-6,建议为3:

MaxAuthTries 3

image.png

重启ssh服务

systemctl restart ssh
systemctl enable ssh


telnet服务关闭

3、经核查,服务器通过SSH连接堡垒机后,使用SSH协议登录服务器的方式进行远程管理,且关闭了Telnet和HTTP明文传输协议,可防止鉴别信息在网络传输过程中被窃听。

apt-get remove telnet


image.png

审计日志开启

4、经核查,服务器已开启rsyslogd和auditd进程进行审计,审计内容包括系统内重要安全相关事件,包括auth 认证行为、cron执行计划行为、mail邮件行为等。

service rsyslog status

image.png

apt-get install auditd -y 
systemctl start auditd
systemctl enable  auditd


image.png





相关文章

Spark调优方式

(1)资源参数调优num-executors:设置Spark作业总共要用多少个Executor进程来执行executor-memory:设置每个Executor进程的内存executor-cores:...

CDH配置impala自动同步HMS元数据

CDH配置impala自动同步HMS元数据

1、进入CM界面 > Hive > 配置 > 搜索 启用数据库中的存储通知(英文界面搜索:Enable Stored Notifications in Database),并且勾选,...

Hbase预分区

Hbase预分区

HBase 的数据物理存储格式为多维稀疏排序 Map, 由 key 及 value 组成:key 的构成: rowkey+column family+column qualifier+timestam...

CDH实操--CDH集成flink 1.13.6(二)

CDH实操--CDH集成flink 1.13.6(二)

一、编译flink1、下载flink1.13.6源码包wget https://mirrors.tuna.tsinghua.edu.cn/apache/flink/flink-1.13.6/flink...

开源大数据集群部署(五)Freeipa客户端部署及配置(kerberos+ldap)

开源大数据集群部署(五)Freeipa客户端部署及配置(kerberos+ldap)

1、安装IPA-Client安装(每个节点均需安装)yum install ipa-client -y2、执行安装命令ipa-client-install3、执行完成后进入交互阶段4、安装完成后查看页...

服务器间文件传输方法

一、windows间互传当我们想要对业务数据进行传输时,需要借助第三方工具或者系统自带的服务进行数据传输,以下介绍三种常见数据传输方法1、通过windows自带的系统映射服务拷贝数据到目标服务器;端口...

发表评论    

◎欢迎参与讨论,请在这里发表您的看法、交流您的观点。