三级等保整改服务器整改

MariaDB/MySQL用户和权限管理 - 骏马金龙 - 博客园

最完整的MySQL、MariaDB创建用户，设置密码、设置各种权限语法演示，超简单_坐公交也用券-CSDN博客_mariadb设置用户密码

Linux等保三级整改 – 众客华禹

参考如上，其他的服务器默认配置即可

一、身份鉴别

1. 应对登录的用户进行身份标识和鉴别，身份标识具有唯一性，身份鉴别信息具有复杂度要求并定期更换。

/etc/login.defs 是设置用户帐号限制的文件。该文件里的配置对root用户无效。/etc/login.defs 文件用于在Linux创建用户时，对用户的一些基本属性做默认设置，例如指定用户 UID 和 GID 的范围，用户的过期时间，密码的最大长度，等等。

修改vim /etc/login.defs文件

#vim /etc/login.defs
PASS_MAX_DAYS   90  　　      # 密码最长过期天数
PASS_MIN_DAYS   2   　　　    # 密码最小过期天数
PASS_MIN_LEN    8   　　　　  # 密码最小长度
PASS_WARN_AGE   7    　　　   # 密码过期警告天数

2. 应具有登录失败处理功能，应配置并启用结束会话、限制非法登录次数和当登录连接超时自动退出等措施

修改/etc/pam.d/system-auth文件

# vim /etc/pam.d/system-auth

account required pam_tally2.so deny=3 no_magic_root reset

参数含义：
deny=3 设置登录失败3次就将 用户锁住，该值可任意设定。

vi /etc/profile

在文件的最后添加如下语句：

export TMOUT=600

含义：空闲等待时间

二、访问控制：

vi /etc/ssh/sshd_config

PermitRootLogin no

说明：不允许root账户登录，只能以普通账户登录，然后切换到root账户

三、入侵防范

创建审计管理员

useradd audit；usermod -G audit audit
passwd audit

密码自己设定

设置审计管理员权限

visudo

audit ALL=(root) NOPASSWD: /usr/bin/cat , /usr/bin/less , /usr/bin/more , /usr/bin/tail , /usr/bin/head, /usr/sbin/service auditd start, /usr/sbin/service auditd stop, /usr/bin/systemctl status auditd
 

设置审计管理员只读权限，并可以控制auditd进程

数据库设定审计账户：

GRANT SELECT ON *.* TO 'audit'@'%' IDENTIFIED BY 'audit@123';

直接设置并创建audit账户，并授权只读操作，该语句可直接刷新权限，不用再flush