Linux安全配置
1、关闭多余用户:
IP、news、uucp、games、mail与其他自定义的没有使用的用户(groupdel userdel)
更改一些用户的shell,不需要登录的改成:/bin/nologin
2、设置密码过期策略:
Vi /etc/login.defs #过期时间90天
PASS_MAX_DAYS=90
3、超时自动注销登录:
Vi /etc/profile ##600秒注销
TMOUT=600
export TMOUT
4、设置history的历史时间格式:
Vi /etc/profile
HISTTIMEFORMAT=”%Y-%M%D %H:%m:%s”
export HISTTIMEFORMAT
chmod 600 /用户主目录/.bash_history
5、禁止空口令账号登录系统:
Vi /etc/pam.d/system-auth #增加
auth sufficient /lib/security/pam_unix_so likeauth nullok
6、密码复杂度设置:
Vi /etc/pam.d/login #新旧密码必须5个不同字符,一个数字,一次失败后返回错误信息
password required pam_cracklib.so difok=5 dcredit=-1 retry=1
7、默认密码长度限制:
Vi /etc/login.defs
PASS_MIN_LEN 8
8、SSH安全配置:
Vi /etc/ssh/sshd_config
Procotol 2
PermitRootLogin no
PubkeyAuthentication yes
PasswordAuthentication no
GSSAPIAuthentication no
9、对SSH、SU登录日志进行记录:
Vi /etc/syslog.conf
Authpriv.* /var/log/secure
/etc/rc.d/init.d/syslog restart
10、开启审计功能:
Service auditd start
日志/var/log/audit/audit.log
window安全配置
1、定期更换密码,避免重复使用旧的密码:
域安全策略--安全设置--账号策略--密码策略--密码最长使用期限/强制密码历史
2、首次登录更改默认密码:
用户账号属性--勾选下次登录必须更改密码
3、系统不允许账号和密码一致/密码由数字和字母组成:
域安全策略--安全设置--账号策略--密码策略--密码必须符合安全性要求
4、强制用户使用优质密码:
域安全策略--安全设置--账号策略--密码策略--密码长度最小值
5、用户单次登录不活动注销:
屏保设置15分钟
gpedit.msc 组策略编辑器--计算机配置策略--管理模板--Windows 组件--终端服务--会话--为断开的会话设置时间
6、用户无效登录的最大尝试次数为6:
域安全策略--安全设置--账号策略--账号锁定策略--账号锁定阈值
7、开启审计日志:
域安全策略--本地策略--审核策略--审计功能
8、建议添加的审计规则:
登录失败 账号登录事件/登录事件
ID修改密码修改 账号管理
文件删除 对象访问
无效的逻辑访问尝试 目录服务访问
创建和删除系统级对象 对象访问/策略更改/系统事件
9、删除所有不需要的账号
