统信UOS二级等保小结

皮皮虾h 2022-09-29 09:48:29  51266

分类专栏：资讯

1.所有服务器关闭掉多余服务及端口

netstat -naltpu

cupsd服务  TCP 631端口
systemctl stop cups
systemctl disable cups
systemctl status cups

nmbd服务 UDP 137、138端口
systemctl stop nmbd
systemctl disable nmbd
systemctl status nmbd

samba服务
systemctl stop smbd
systemctl disable smbd
systemctl status smbd
 class="token operator">| chpasswd
如果上面操作报错，请检查有没有安装  pam_pwquality.so 或 pam_cracklib.so 对应的模块
1
2
3
4
5
6
7
8
9
10

服务器账号每3个月一改。 
sed -i '/^PASS_MAX_DAYS/c\PASS_MAX_DAYS   '90'' /etc/login.defs
sed -i '/^PASS_MIN_DAYS/c\PASS_MIN_DAYS   '6'' /etc/login.defs
sed -i '/^PASS_WARN_AGE/c\PASS_WARN_AGE   '30'' /etc/login.defs

查看账号信息，如果发现是99999天，则需修改 /etc/shadow的末尾几个数字, 可参考 http://c.biancheng.net/view/840.html
chage -l uos 
1
2
3
4
5
6
7

3.所有服务器设置TMOUT超时登录时间；连续登陆失败5次后锁用户10分钟

连续登陆失败5次后 锁用户10分钟
cp /etc/pam.d/login /etc/pam.d/login.bak
sed -i '1i auth     required       pam_tally2.so deny=5 unlock_time=600  even_deny_root root_unlock_time=600' /etc/pam.d/login

cp /etc/pam.d/sshd /etc/pam.d/sshd.bak
sed -i '1s/^/auth required pam_tally2.so deny=5 unlock_time=600 even_deny_root root_unlock_time=600 \n/' /etc/pam.d/sshd

设置TMOUT 10分钟
if [ -f /etc/profile ];then
 grep -q "^export TMOUT=600" /etc/profile || echo "export TMOUT=600" >> /etc/profile
fi
source /etc/profile
1
2
3
4
5
6
7
8
9
10
11
12

4、禁止root远程登录、超时自动退出

cp /etc/ssh/sshd_config /etc/ssh/sshd_config.bak
 禁止root远程登陆
sed -i  's/PermitRootLogin yes/PermitRootLogin no/g'   /etc/ssh/sshd_config 


超时自动退出 。 最久600秒
if [ -f /etc/profile ];then
	grep -q "^export TMOUT=120" /etc/profile || echo "export TMOUT=120" >> /etc/profile
fi
1
2
3
4
5
6
7
8
9

5、建立三权分立账号（三权分立最好用专门的软件或者涉密机弄三权分立）

useradd -m secManager -d /home/secManager -s /bin/bash
echo secManager:xxx | chpasswd

useradd -m secAudit -d /home/secAudit -s /bin/bash
echo secAudit:xxx | chpasswd 

useradd -m majorAccount -d /home/majorAccount -s /bin/bash
echo majorAccount:xxx | chpasswd 
1
2
3
4
5
6
7
8

6、UOS终端需要对审计日志备份，并且确保备份文件保存时间满足6个月（26周）以上

修改/etc/logrotate.conf 和 /etc/logrotate.d/rsyslog ，将audit的绝对路径也加进去。
weekly
rotate 26

安装auditd服务:
apt install -y auditd
echo "-w /etc/passwd -p rwxa" >> /etc/audit/rules.d/audit.rules
echo "-w /etc/shadow -p rwxa" >> /etc/audit/rules.d/audit.rules

systemctl restart auditd.service
systemctl enable auditd.service

auditctl -s
auditctl -l

切26份日志，创建备份日志文件夹
logrotate -vf /etc/logrotate.d/rsyslog
然后重复25次：
logrotate -vf /etc/logrotate.d/rsyslog && cp /var/log/audit/audit.log.1 /var/log/audit/audit.log
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19

7、控制服务访问的源地址范围

 等保里面需要控制服务器登入地址范围，通过hosts.allow或hosts.deny设置。
 配置不允许该ip ssh登入，在hosts.deny添加行。例：sshd:192.168.100.1
1
2

8、日志异地备份 syslog服务器（略）

使用华为云 安恒日志审计
1

其他

华为云平台提供的服务： 1、异地备份。 2、安恒杀软。 3、安恒日志审计。 4、数据库审计

数据库方面（操作略）：
开启SSL连接；超过空闲时间退出会话；非法登陆策略（密码错5次锁用户）；重命名默认账户；

禁止默认账户远程登陆数据库；开启数据库审计；数据库限制远程访问IP
1
2
3
4
5
6

参考：https://blog.csdn.net/weixin_43558404/article/details/118712111 和统信技术支持

文章知识点与官方知识档案匹配，可进一步学习相关知识

CS入门技能树Linux入门初识Linux17938 人正在系统学习中

网站声明：如果转载，请联系本站管理员。否则一切后果自行承担。

本文链接：https://www.xckfsq.com/news/show.html?id=10893

赞同 0

评论 0 条

统信UOS二级等保小结

1.所有服务器关闭掉多余服务及端口

3.所有服务器设置TMOUT超时登录时间 ；连续登陆失败5次后 锁用户10分钟

4、禁止root远程登录 、超时自动退出

5、建立三权分立账号 （三权分立最好用专门的软件或者涉密机弄三权分立）

6、UOS终端 需要对审计日志备份，并且确保备份文件保存时间满足6个月（26周）以上

7、控制服务访问的源地址范围

8、日志异地备份 syslog服务器（略）

其他

相关文章

关注我们

3.所有服务器设置TMOUT超时登录时间；连续登陆失败5次后锁用户10分钟

4、禁止root远程登录、超时自动退出

5、建立三权分立账号（三权分立最好用专门的软件或者涉密机弄三权分立）

6、UOS终端需要对审计日志备份，并且确保备份文件保存时间满足6个月（26周）以上