前言

公司最近在做等保三级测评，其中涉及网络交换机设置，服务器硬件情况，以及基础系统管理等方面。

恰好，我负责基础系统管理方面，便对此进行实战记录。

一、登录口令整改

要求：密码长度必须在8位以上。

操作：

首先查看当前的活动用户信息。

cat /etc/shadow

结果如下：

 查看当前的密码设置规则（解释Linux对应的密码策略模块有：pam_passwdqc 和 pam_pwquality 。其中pam_passwdqc模块对应的是/etc/login.defs，pam_pwquality对应的是/etc/security/pwquality.conf）

cat /etc/security/pwquality.conf

结果如下

重要参数解释：

retry=N：定义登录/修改密码失败时，可以重试的次数；

Difok=N：定义新密码中必须有几个字符要与旧密码不同。但是如果新密码中有1/2以上的字符与旧密码不同时，该新密码将被接受；

minlen=N：定义用户密码的最小长度；

dcredit=N：定义用户密码中必须包含多少个数字；

ucredit=N：定义用户密码中必须包含多少个大写字母；

lcredit=N：定义用户密码中必须包含多少个小些字母；

ocredit=N：定义用户密码中必须包含多少个特殊字符(除数字、字母之外)；

其中 =-1表示，至少有一个。
按照要求修改保存。

修改后，如下图：

 测试如下图：创建了一个sysadmin用户 设置密码为12345678 提示密码里必须有一个小写字母。

 二、密码90天内更换

1、查看用户sysadmin的密码设置信息。

 chage -l sysadmin

 结果如下：

 从上图来看，明显不符合三级等保要求。

chage 参数如下：

-d 指定密码最后修改日期

-E 密码到期的日期，过了这天，此账号将不可用。0表示马上过期，-1表示永不过期。

-h 显示帮助信息并退出

-I 密码过期后，锁定账号的天数

-l 列出用户以及密码的有效期

-m 密码可以更改的最小天数。为零代表任何时候都可以更改密码。

-M 密码保持有效的最大天数。

-W 密码过期前，提前收到警告信息的天数。

修改操作：sysadmin账户的密码有效期是90天，修改后，3天之内不能再次修改，密码失效提前15天提示。

chage -M 90 -m 3 -W 15 sysadmin

修改后，效果：

 三、登录失败3次锁定10秒钟

设置登录：

vi /etc/pam.d/login

添加内容：

auth required pam_tally2.so deny=3 lock_time=300 even_deny_root root_unlock_time=10
解释：

even_deny_root 也限制root用户；

deny 设置普通用户和root用户连续错误登陆的最大次数，超过最大次数，则锁定该用户

unlock_time 设定普通用户锁定后，多少时间后解锁，单位是秒；

root_unlock_time 设定root用户锁定后，多少时间后解锁，单位是秒；

 设置ssh登录：

在/etc/pam.d/sshd内添加：

auth required pam_tally2.so deny=3 lock_time=300 even_deny_root root_unlock_time=10

然后重启ssh的服务

systemctl restart sshd

四、系统超时多长时间退出登录

检查/etc/profile文件中有无TMOUT环境变量设置。 例如：export TMOUT=600，其中600表示超过600秒无操作即断开连接

vi /etc/profile

刷新profile

source /etc/profile

五、三权分立

系统管理员账户，安全管理员账户，审计管理员账户（只能读，不能写），不同账户负责不同功能。

创建用户

adduser sysadmin

设置密码

passwd sysadmin

赋权,赋予读写权限

chmod -v u+w /home/sysadmin

收回写的权限

chmod -v u-w /home/sysadmin

六、系统日志保存180天

日志保存180天以上 系统日志 定期导出 截图 

显示所有日志

journalctl

系统日志的保存目录一般在

cd /var/log

主要的几个日志如下

1、/var/log/boot.log（自检过程）
2、/var/log/cron （crontab守护进程crond所派生的子进程的动作）
3、/var/log/maillog （发送到系统或从系统发出的电子邮件的活动）
4、/var/log/syslog （它只记录警告信息，常常是系统出问题的信息，所以更应该关注该文件）
5、/usr/local/apache/logs/error_log（它是记录apache的日志目录)
6、/var/run/utmp 该日志文件需要使用lastlog命令查看
7、/var/log/wtmp （该日志文件永久记录每个用户登录、注销及系统的启动、停机的事件）last命令就通过访问这个文件获得这些信息
8、/var/run/utmp （该日志文件记录有关当前登录的每个用户的信息）
9、/var/log/xferlog （该日志文件记录FTP会话，可以显示出用户向FTP服务器或从服务器拷贝了什么文件）

七、服务器备份

如果你所建的虚拟机是vcenter集群上的，就采用克隆，或者快照的方式备份（建议留存快照最多不要超过3个）

如果有专门的备份设备，例如爱数备份一体机等，就用该设备。