1.服務器密碼復雜度

密碼最小長度，密碼復雜度策略

vim /etc/pam.d/system-auth
---------------
#密碼配置
#ucredit：大寫字母個數；lcredit：小寫字母個數；dcredit：數字個數；ocredit：特殊字符個數；
#minlen 最小長度
#密碼重復使用次數限制 remember=5
password    requisite     pam_pwquality.so try_first_pass local_users_only minlen=6 ucredit=-1 lcredit=-1 dcredit=-1
password    sufficient    pam_unix.so sha512 shadow nullok try_first_pass use_authtok remember=5

2.服務器密碼定期更換

口令更改最小間隔天數，口令過期前警告天數，口令生存周期

vim /etc/login.defs
------------------
#修改
PASS_MAX_DAYS   90
PASS_MIN_DAYS   6
PASS_MIN_LEN    5
PASS_WARN_AGE   30

3.服務器審計功能

安全審計，歷史命令配置

編輯/etc/profile文件，配置HISTFILESIZE的值不大于5

編輯/etc/profile文件，配置HISTSIZE的值不大于5

vim /etc/profile
--------------------
HISTSIZE=5
HISTFILESIZE=5
#600s 超時退出  命令行界面超時自動退出
export TMOUT=600
--------------------
source /etc/profile

遠程日志審計，改為具體ip

vim /etc/rsyslog.conf
---------------------
*.*   @192.168.1.2
---------------------
systemctl enable rsyslog
systemctl restart rsyslog

4.訪問控制

按組管理賬號

cp -p /etc/group /etc/group.bak
groupadd 組名
useradd -g 組名 -m 用戶名
passwd 用戶名

測試登錄，使用新用戶登錄，并切換到root（su root）

只允許 指定組名下的用戶 su為 root

vim /etc/pam.d/su
-------------------------
auth            required        pam_wheel.so group=組名

禁止root遠程登錄

vim /etc/pam.d/login
----------------------------
auth required pam_securetty.so
----------------------------vim /etc/ssh/sshd_config
----------------------------
PermitRootLogin no
----------------------------systemctl restart sshd

5.啟用日志審計

查看啟用狀態

systemctl status auditd

設置開機自啟動

systemctl enable auditd

如果未啟用，修改配置

find / -name grub.cfg
-------------------
麒麟v10 的位置是:/boot/efi/EFI/kylin/grub.cfg
###################
vim /boot/efi/EFI/kylin/grub.cfg
vim /etc/default/grub
-------------------
將所有 audit=0  改為  audit=1

設置默認開機不啟動防火墻

systemctl disable firewalld

開啟sshd開機自啟動

systemctl enable sshd

重啟服務器，內核功能

reboot

如果出現無法使用ssh登錄的情況，請使用 telnet 進行登錄，但是需要在重啟前設置【默認開機不啟動防火墻】，否則telnet會被防火墻攔截（教訓）
?

telnet ip