三级等保整改记录笔记

linux服务器用户密码安全

1.密码复杂度配置
修改文件位置：/etc/pam.d/system-auth-ac 文件
旧内容 password requisite pam_pwquality.so try_first_pass local_users_only retry=3 authtok_type=

新内容 password requisite pam_pwquality.so try_first_pass local_users_only retry=3 authtok_type= minlen=10 lcredit=-1 ucredit=-1 dcredit=-1 ocredit=-1 enforce_for_root

参数解释：
minlen=10 密码最小长度为8个字符。
lcredit=-1 密码应包含的小写字母的至少一个
ucredit=-1 密码应包含的大写字母至少一个
dcredit=-1 将密码包含的数字至少为一个
ocredit=-1 设置其他符号的最小数量，例如@，＃、! $％等，至少要有一个
enforce_for_root 确保即使是root用户设置密码，也应强制执行复杂性策略。

查询密码复杂度策略

cat /etc/pam.d/system-auth | grep -E ‘pam_cracklib|pam_pwquality’ | grep -v ‘#’
2.密码策略配置
修改文件位置：/etc/login.defs
旧内容：
——PASS_MAX_DAYS 99999（密码的最大有效期）
——PASS_MIN_DAYS 0（密码使用天数，下次需要修改密码）
——PASS_MIN_LEN 8（密码最小长度）
——PASS_WARN_AGE 7（密码失效前多少天在用户登录时通知用户修改密码）
新内容：
PASS_MAX_DAYS 90 密码有效期 90天
PASS_MIN_DAYS 1 密码必须使用一天后，才可以重新修改密码（避免频繁修改密码）
PASS_MIN_LEN 10 密码最小长度为10位
PASS_WARN_AGE 7
查询密码策略
cat /etc/login.defs | grep PASS | grep -v ‘#’

3.配置ssh客户端超时不操作 自动退出

修改文件位置 /etc/profile

新内容末尾加入以下配置：

#3600秒无操作自动退出登录
export TMOUT=3600
#将值设置为readonly 防止用户更改，在shell中无法修改TMOUT
readonly TMOUT

4.配置ssh 服务端给客户端发送心跳包

修改文件位置： /etc/ssh/sshd_config
旧内容（默认注释掉的）：
#ClientAliveInterval 0
#ClientAliveCountMax 3

新内容：
ClientAliveInterval 60 server每60秒给ssh客户端发送心跳包，客户端没响应则断开
ClientAliveCountMax 60 超时次数（允许最大60次超时）

5.登录失败锁定

修改文件位置：/etc/pam.d/system-auth-ac 文件

新内容：添加
auth required pam_tally2.so onerr=fail deny=3 unlock_time=300

账号密码 登录失败锁定

在 /etc/pam.d/login 文件中添加以下行：

auth required pam_tally2.so deny=3 unlock_time=300

SSh登录失败锁定

/etc/pam.d/sshd 文件来与 sshd 服务一起使用上述配置。在该文件中，添加以下行：
auth required pam_tally2.so deny=3 unlock_time=300

6.是否禁止root用户远程登录（无法实现）：

/etc/ssh/sshd_config
查看PermitRootLogin yes是否注释

7.服务日志备份
Linux 系统日志一般存放在 /var/log 下面

查看日志服务是否开启(系统日志需要做备份)

systemctl status rsyslog.service 或者 ps aux | grep “rsyslog” | grep -v “grep”

查看日志服务是否开机启动

systemctl list-unit-files | grep rsyslog

8.数据库日志备份（nginx，tomcat，服务器系统日志，等按三级等保要求全部需要部分，如服务器脚本定时备份，保存三个月等）

查看mysql数据库日志是否开启（记录增删改查日志，默认不开启）
show variables like ‘%general%’;
开启日志
set global general_log=ON;

– 查看慢查询是否开启
show variables like ‘%slow_query_log%’;
– 查看错误日志是否开启
show variables like ‘log_error%’;

– 查询mysql有哪些用户
select user ,plugin from mysql.user ;

创建数据三权分立，管理员，安全员，审计员账号

创建用户sys_role用户
CREATE USER ‘sys_role’@‘%’ IDENTIFIED BY 'password;

给sys_role用户授权health_station的所有权限，增删改查
grant all privileges on health_station.* to ‘sys_role’@‘%’;

9.Ssh 免密登录

查看root目录有没有.ssh文件。没有则生成ssh

ssh-keygen -t rsa 三次回车就可以

生成ssh之后，将公钥发送到其他服务器，即可免密登录

ssh-copy-id （服务器ip）

10.业务数据需加密存储

业务数据加密（如密码加密）
用户数据等敏感数据加密存储 （如AES，SM4国密等对称加密算法）