国产麒麟服务器等保二级 配置规范(一)

本文涉及的产品
RDS MySQL Serverless 基础系列,0.5-2RCU 50GB
RDS MySQL Serverless 高可用系列,价值2615元额度,1个月
简介: 国产麒麟服务器等保二级 配置规范(一)

麒麟linux的加固

1.检查设备密码复杂度策略

 配置文件 vi /etc/pam.d/system-auth

password requisite pam_cracklib.so difok=3 minlen=8 ucredit=-1 lcredit=-1 dcredit=-1
auth required pam_tally.so deny=5 unlock_time=600 no_lock_time
account required pam_tally.so
#这个是要追加
password sufficient pam_unix.so md5 shadow nullok try_first_pass use_authtok 后面追加 remember=5
参数说明:
minlen=8 minlen为最小密码长度 
remember=5  #检查密码重复使用次数限制
deny #连续认证失败次数超过的次数
unlock_time=600 #锁定的时间10分钟,单位为秒
difok=3 新密码必须与旧密码有3位不同

 2.检查是否设置口令生存周期

   在文件/etc/login.defs中设置

   默认值

   PASS_MAX_DAYS    99999

   PASS_MIN_DAYS    0

   PASS_MIN_LEN    5

   PASS_WARN_AGE    7    

在文件/etc/login.defs中设置 
   
PASS_MAX_DAYS    90  #检查口令更改最长时间
PASS_MIN_DAYS    6   #检查口令更改最小间隔天数    
PASS_MIN_LEN    6   #设置口令最小长度
PASS_WARN_AGE    30   #检查口令过期前警告天数

   3.检查重要目录或文件权限设置        

chmod 750 /etc/rc.d/init.d
chmod 750 /tmp
chmod 750 /etc/rc6.d    
chmod 750 /etc/rc5.d
chmod 750 /etc/rc4.d    
chmod 750 /etc/rc3.d
chmod 750 /etc/rc2.d    
chmod 750 /etc/rc1.d    
chmod 750 /etc/rc0.d/    
chmod 600 /etc/security
chmod 600 /boot/grub2/grub.cfg
chmod 644 /etc/services
chmod 644 /etc/group

 

4.检查重要文件属性设置

用 lsattr 查看权限  chattr -i 去掉权限

   检查/etc/gshadow文件属性   chattr +i /etc/gshadow

   检查/etc/shadow文件属性       chattr +i /etc/shadow

   检查/etc/group文件属性       chattr +i /etc/group

   检查/etc/passwd文件属性       chattr +i /etc/passwd

chattr +i /etc/gshadow
chattr +i /etc/shadow
chattr +i /etc/group
chattr +i /etc/passwd

检查用户umask设置

vi /etc/profile #添加 
 umask 027
source /etc/profile  最后记得重新加载

5.检查是否设置ssh登录前警告Banner

麒麟系统的在 cat /etc/issue.net

6. 检查系统openssh安全配置

 禁止root直接登录 和修改 sshd_config登录的

修改文件,配置PermitRootLogin no。重启服务,/etc/init.d/sshd restart 或者 service sshd restart。

7.mysql配置规范

检查是否禁止mysql以管理员账号权限运行

   [mysqld]配置段中添加 user=mysql

   更改root用户名 并删除测试数据库test

   mysql> update user set user="syzl" where user="root";

   mysql> flush privileges;    

   mysql> show databases;

   mysql> drop database test;

   mysql> flush privileges;

mysql配置规范

[mysqld]
user=mysql
slow_query_log = 1
log_error = /usr/local/mysql/mysql.err
slow_query_log  = ON     #开启慢查询
long_query_time  =1     #设置慢查询时间 超过一秒的记录
log_bin = mysql-bin
server_id = 134
log-bin=mysql-bin
log-bin-index=master-bin.index
expire_logs_days = 7 
binlog_format=row
slave_skip_errors=1062
log_slave_updates=1
max_connections = 1000
max_connection_errors=1000
wait_timeout=864000 
interactive_timeout=864000
local-infile=0
character_set_server=utf8
init_connect='SET NAMES utf8'
basedir=/usr/local/mysql
datadir=/usr/local/mysql/data
socket=/tmp/mysql.sock
symbolic-links = 0 
#不区分大小写 
lower_case_table_names = 1
##不开启sql严格模式
sql_mode = "STRICT_TRANS_TABLES,ERROR_FOR_DIVISION_BY_ZERO,NO_AUTO_CREATE_USER,NO_ENGINE_SUBSTITUTION"
log-error=/var/log/mysqld.log
pid-file=/usr/local/mysql/data/mysqld.pid
max_allowed_packet = 15M

 8.其他安全

8.1检查是否设置命令行界面超时退出 和设置保留历史命令的条数

添加 export TMOUT=600   设置命令行界面超时退出 
vi /etc/profile  
export TMOUT=600   
HISTSIZE=2000    #保留历史命令的条数改为2000

source  /etc/profile  记得重新加载

8.2 检查是否使用PAM认证模块禁止wheel组之外的用户su为root

vi /etc/pam.d/su

auth required pam_wheel.so group=wheel
#你可以把用户添加到wheel组,以使它可以使用su命令成为root用户。
#添加方法为:usermod –G wheel username

8.3 检查系统core dump设置

在文件/etc/security/limits.conf中配置* soft core 0
在文件/etc/security/limits.conf中配置* hard core 0
echo '* soft core 0' >>  /etc/security/limits.conf    
echo '* hard core 0' >>  /etc/security/limits.conf

6.4 检查系统是否禁用ctrl+alt+del组合键

删除/usr/lib/systemd/system/ctrl-alt-del.target
再次执行init q重新reload配置文件
 rm -rf /usr/lib/systemd/system/ctrl-alt-del.target
 init q

 8.6 检查是否配置关闭IP伪装 检查是否配置关闭多IP绑定

编辑/etc/host.conf文件 添加
nospoof on #关闭IP伪装
multi off #关闭多IP绑定

8.5检查ntp服务是否开启

yum install -y chrony
systemctl start chronyd
systemctl enable chronyd

修改配置:

vim /etc/chrony.conf
注释掉4,5行 添加局域网的
server 192.168.1.1 iburst
systemctl restart chronyd.service
chronyc sources -v

8.5检查ntp服务是否开启  现在不用这个同步时间了  用 chrony    

systemctl start ntpd   查看状态 :systemctl status ntpd

配置:server IP地址(提供ntp服务的机器)
如:server 192.168.1.1

相关实践学习
基于CentOS快速搭建LAMP环境
本教程介绍如何搭建LAMP环境,其中LAMP分别代表Linux、Apache、MySQL和PHP。
全面了解阿里云能为你做什么
阿里云在全球各地部署高效节能的绿色数据中心,利用清洁计算为万物互联的新世界提供源源不断的能源动力,目前开服的区域包括中国(华北、华东、华南、香港)、新加坡、美国(美东、美西)、欧洲、中东、澳大利亚、日本。目前阿里云的产品涵盖弹性计算、数据库、存储与CDN、分析与搜索、云通信、网络、管理与监控、应用服务、互联网中间件、移动服务、视频服务等。通过本课程,来了解阿里云能够为你的业务带来哪些帮助     相关的阿里云产品:云服务器ECS 云服务器 ECS(Elastic Compute Service)是一种弹性可伸缩的计算服务,助您降低 IT 成本,提升运维效率,使您更专注于核心业务创新。产品详情: https://www.aliyun.com/product/ecs
目录
相关文章
|
16小时前
|
存储 弹性计算 监控
【阿里云弹性计算】深入阿里云ECS配置选择:CPU、内存与存储的最优搭配策略
【5月更文挑战第20天】阿里云ECS提供多种实例类型满足不同需求,如通用型、计算型、内存型等。选择CPU时,通用应用可选1-2核,计算密集型应用推荐4核以上。内存选择要考虑应用类型,内存密集型至少4GB起。存储方面,系统盘和数据盘容量依据应用和数据量决定,高性能应用可选SSD或高效云盘。结合业务特点和预算制定配置方案,并通过监控应用性能适时调整,确保资源最优利用。示例代码展示了使用阿里云CLI创建ECS实例的过程。
19 5
|
5天前
|
消息中间件 安全 Linux
服务器(Linux)在线下载activeMQ以及配置打开
服务器(Linux)在线下载activeMQ以及配置打开
14 3
|
5天前
|
XML 网络安全 开发工具
如何下载并安装 SAP ABAPGit,并完成 ABAP 服务器上 SSL 证书的配置试读版
如何下载并安装 SAP ABAPGit,并完成 ABAP 服务器上 SSL 证书的配置试读版
11 0
|
5天前
|
Web App开发 安全 Unix
Linux 配置FTP服务器 + vsftpd服务安装配置 (Good篇)
Linux 配置FTP服务器 + vsftpd服务安装配置 (Good篇)
|
5天前
|
存储 弹性计算 固态存储
阿里云服务器租用价格参考,2核16G、4核32G、8核64G配置收费标准
阿里云服务器2核16G、4核32G、8核64G配置最新租用价格更新,2024年阿里云产品再一次降价,降价之后2核16G配置按量收费最低收费标准为0.596元/小时,按月租用标准收费标准为260.44元/1个月。4核32G配置的阿里云服务器按量收费标准最低为1.085元/小时,按月租用标准收费标准为520.88元/1个月。8核64G配置的阿里云服务器按量收费标准最低为2.17元/小时,按月租用标准收费标准为1041.77元/1个月。云服务器实例规格的地域和实例规格不同,收费标准不一样,下面是2024年阿里云服务器2核16G、4核32G、8核64G配置的最新租用收费标准。
阿里云服务器租用价格参考,2核16G、4核32G、8核64G配置收费标准
|
5天前
|
PyTorch TensorFlow 算法框架/工具
【科研入门】搭建与配置云服务器的论文环境
本文介绍了如何搭建云服务器并配置论文代码环境,以AutoDL平台为例。首先,租用服务器并选择符合代码需求的镜像版本,如Python 3.7、TensorFlow 1.15和PyTorch。接着,启动服务器进入终端,克隆项目代码并使用Conda创建隔离的环境安装所需包。如果需在Pycharm中工作,还需在Pycharm内创建相同环境。最后,根据项目配置安装Tensorflow和PyTorch,遇到缺失包时通过`pip install`补充。完成配置后,可克隆服务器以备后续使用。遇到版本不兼容问题,可调整Conda环境的Python版本。
49 1
【科研入门】搭建与配置云服务器的论文环境
|
5天前
|
存储 弹性计算 固态存储
阿里云服务器配置选择指南,2024年全解析
阿里云服务器配置选择涉及CPU、内存、带宽和磁盘。个人开发者或中小企业推荐使用轻量应用服务器或ECS经济型实例,如2核2G3M配置,适合网站和轻量应用。企业用户则应选择企业级独享型ECS,如计算型c7、通用型g7,至少2核4G起,带宽建议5M,系统盘考虑SSD云盘或ESSD云盘以保证性能。阿里云提供了多种实例类型和配置,用户需根据实际需求进行选择。
|
弹性计算 Shell Windows
阿里云学生专享ecs服务器体验及个人配置
阿里云学生优惠专享的云服务器个人使用体验
阿里云学生专享ecs服务器体验及个人配置
|
16小时前
|
存储 弹性计算 监控
【阿里云弹性计算】阿里云ECS全面解析:弹性计算服务的核心优势与应用场景
【5月更文挑战第20天】阿里云ECS是提供可伸缩计算能力的云服务,支持多种规格实例,满足不同需求。其核心优势包括灵活性、高性能、高可用性、安全性和易用性。适用场景包括网站托管、大数据处理、游戏多媒体应用及测试开发环境。通过Python示例代码展示了如何创建ECS实例,助力企业专注业务发展,简化基础设施管理。
23 5
|
17小时前
|
弹性计算
阿里云ECS使用体验
在申请高校学生免费体验阿里云ECS云服务器后的一些使用体验和感受。

热门文章

最新文章