ubuntu20.04服务器安全策略设定

琉璃2年前技术文章3100

密码策略

1、经核查,服务器用户身份标识唯一,口令存储在服务器中采用SHA512算法,服务器配置口令复杂度,口令要求8位以上,字母、数字、特殊字符组成,口令180天定期更换。

# SHA512算法查看

cat /etc/login.defs |grep ENCRYPT_METHOD

image.png

#口令180天更换

 cat /etc/login.defs |egrep -v  "#" |grep PASS_MAX_DAYS

image.png

# 密码负载度策略查看,看password那一栏是否引入pam_cracklib.so参数

需要先安装模块

apt-get update&&apt-get install libpam-cracklib

编辑/etc/pam.d/common-password,在password requisite pam_cracklib.so开头的这一行配置minclass(至少包含小写字母、大写字母、数字、特殊字符等4类字符中的3类或4类)设置为3或4,即在行末尾加上参数minclass=3;在password [success=1 default=ignore] pam_unix.so开头的这一行增加配置minlen(密码最小长度)设置为8-32位,建议为10,即在行末尾加上参数minlen=10

image.png


登录超时设定

2、经核查,服务器启用登录失败功能,登录失败3次后用户锁定20分钟,root用户锁定20分钟,启用登录连接超时自动退出功能,超时10分钟自动退出。

vim /etc/pam.d/login

添加:

auth required pam_tally2.so deny=3 unlock_time=1200  even_deny_root root_unlock_time=1200

参数介绍:

1.auth required pam_tally2.so    #是固定的

2.deny   #设置普通用户和root用户连续错误登陆的最大次数,超过最大次数,则锁定该用户

3.unlock_time  #设定普通用户锁定后,多少时间后解锁,单位为秒

4.root_unlock_time  #设定root用户锁定后,多少时间后解锁,单位是秒

image.png

编辑/etc/ssh/sshd_config

10分钟空间超时 退出,最多3个活跃用户登录设置如下:将ClientAliveInterval 设置为300到900,即5-15分钟,将ClientAliveCountMax设置为0-3之间。

10分钟空间超时 退出,最多两个活跃用户登录

ClientAliveInterval 600
ClientAliveCountMax 2


image.png

在/etc/ssh/sshd_config中取消MaxAuthTries注释符号#,设置最大密码尝试失败次数3-6,建议为3:

MaxAuthTries 3

image.png

重启ssh服务

systemctl restart ssh
systemctl enable ssh


telnet服务关闭

3、经核查,服务器通过SSH连接堡垒机后,使用SSH协议登录服务器的方式进行远程管理,且关闭了Telnet和HTTP明文传输协议,可防止鉴别信息在网络传输过程中被窃听。

apt-get remove telnet


image.png

审计日志开启

4、经核查,服务器已开启rsyslogd和auditd进程进行审计,审计内容包括系统内重要安全相关事件,包括auth 认证行为、cron执行计划行为、mail邮件行为等。

service rsyslog status

image.png

apt-get install auditd -y 
systemctl start auditd
systemctl enable  auditd


image.png





相关文章

sparksql集成ranger权限测试

sparksql集成ranger权限测试

##启动thriftserver cd /opt/dtstack/spark/spark_pkg/sbin ./start-thriftserver.sh \ --master yarn \...

gitlab的部署

gitlab的部署

一、GitLab简介GitLab 是一个用于仓库管理系统的开源项目。使用Git作为代码管理工具,并在此基础上搭建起来的web服务。可通过Web界面进行访问公开的或者私人项目。它拥有与Github类似的...

LINUX 安全运维-用户

Linux提供了各种不同的用户和角色,而有些用户和角色,系统根本不需要,应该删除他们,因为帐号越多,系统就越不安全!黑客可能利用他们,威胁服务器的安全。删除不需要的用户:for i in {adm,l...

DRDS SQL闪回介绍

DRDS SQL闪回介绍

1、SQL闪回注意事项1、SQL闪回依赖RDS BINLOG保存时间,需要注意开启binlog备份。2、SQL闪回生成的恢复文件默认保存7天,闪回sql后需要尽快执行。3、SQL闪回精确匹配需要满足如...

Sentry管理Hive目录acl -setacl不生效

Sentry管理Hive目录acl -setacl不生效

CDH在启动Sentry后/user/hive/warehouse这个目录 hdfs手动setacl会不生效首先确保hdfs参数dfs.namenode.acls.enabled=true;还有另一个...

ElasticSearch开启xpack

ElasticSearch开启xpack

ES开启xpack1、生成ca证书(用户名和密码不用设置,一路回车,生成证书文件elastic-stack-ca.p12,生成kibana证书的时候也需要该ca证书)/opt/dtstack/es-6...

发表评论    

◎欢迎参与讨论,请在这里发表您的看法、交流您的观点。