运维篇-系统安装部署规范-权限账号部分
| 时间 | 版本 | 修订人 | 修订内容 |
|---|---|---|---|
| 2023-03-30 | v1.0 | 创建 |
前言
为规范系统部署,方便运维人员操作,满足等保要求, 特制订本规范。
说明
本文档 以CentOS 7为例 整理
一、身份鉴别
规范要求
应对登录用户进行身份标识和鉴别,身份标识具有唯一性,身份鉴别信息具有复杂度要求并定期更换
应具有登录失败处理功能,应配置并启用结束会话、限制非法登录次数和当登录连接超时自动退出等相关措施
应授予管理用户所需的最小权限,实现管理用户的权限分离
###规范操作
设置账户有效期 失效期 警告期
编辑log.defs文件 vi /etc/login.defs
修改pass_MAX_DAYS 90 (密码更换时间)设置合理的口令复杂度和口令长度
1) vi /etc/pam.d/system-auth
2) password 块 在pam_cracklib.so或pam_pwquality.so所在行末尾追加如下内容:
minlen=8 minclass=3 remember=5 dcredit=-1 lcredit=-1 ucredit=-1 ocredit=-1 enforce_for_rootretry=5 定义登录、或修改密码失败后,可以重复的次数
type= 选项,定义用户修改密码时的提示内容,一般不设置
dcredit=-1 至少一个数字
lcredit=-1 至少一个小写
ucredit=-1 至少一个大写
ocredit=-1 至少一个特殊字符
minlen=8 密码最短长度为8位
remember=5 不能重复使用前5次使用过的密码
enforce_for_root root修改密码也要遵守规则
设置登录次数限制(密码错误锁定账号)
1)vi /etc/pam.d/system-auth
2)在首行添加如下内容:
auth required pam_tally2.so deny=3 even_deny_root unlock_time=300
3)保存并退出
4)vi /etc/pam.d/password-auth
5)在首行添加如下内容:
auth required pam_tally2.so deny=3 even_deny_root unlock_time=300
6)保存并退出字段说明
even_deny_root 也限制root用户;
deny 设置普通用户和root用户连续错误登陆的最大次数,超过最大次数,则锁定该用户
unlock_time 设定普通用户锁定后,多少时间后解锁,单位是秒;
root_unlock_time 设定root用户锁定后,多少时间后解锁,单位是秒;
设置账号超时退出
vi /etc/profile
末尾添加 TMOUT=300
source /etc/profile 当即生效添加账号
1)【执行shell命令useradd 用户名】添加用户
2)添加系统管理员账户sysadmin、审计管理员账户audadmin、安全管理员账户secadmin、运维账号devoper
3)【执行shell命令passwd 用户名】设置密码禁用root账号
==注:修改配置之前一定要先创建一个普通账户用于远程登录,否则系统除重启回退配置外,永远无法被远程==
vi /etc/ssh/sshd_config
修改 或直接添加
PermitRootLogin no 禁止root登录
重启 sshd服务
systemctl restart sshd
systemctl status sshd二、安全审计
规范要求
应启用安全审计功能,审计覆盖到每个用户,对重要的用户行为和重要安全事件进行审计
日志保存满足180天要求
###规范操作
设置全面审核策略
1)【执行shell命令service status auditd】或【执行shell命令systemctl auditd status】确保auditd处于运行状态
service auditd restart
2)执行如下shell命令:
auditctl -w /etc/passwd -p rwxa
auditctl -w /etc/profile -p rwxa
auditctl -w /etc/sysctl.conf -p rwxa
auditctl -w /etc/crontab -p rwxa
对日志进行备份
手动备份和自动备份实现其一即可
1)手动备份:将服务器/var/log目录下的日志每天定时复制到本地硬盘或运维终端中
2)自动备份:通过rsyslogd进程使用syslog协议将日志发送至日志服务器或日志审计系统
日志保存满足180天要求
1)vim /etc/logrotate.conf
2)将【rotate 4】改为【rotate 26】本博客所有文章除特别声明外,均采用 CC BY-NC-SA 4.0 许可协议。转载请注明来自 liudongsir's blog!
wechat- alipay
评论
GiscusGitalk