一、设置密码复杂度

[root@localhost ~]# vi /etc/pam.d/system-auth

password requisite pam_pwquality.so try_first_pass local_users_only retry=3 authtok_type= minlen=8 lcredit=-1 ucredit=-1 dcredit=-1 ocredit=-1 difok=5 enforce_for_root

参数说明:

负数:代表最少出现次数,

正数:代表最多出现次数

minlen = 8,密码长度至少8位;

lcredit=-1,至少包含一个小写字母;

ucredit=-1,至少包含一个大写字母;

dcredit=-1,至少包含要给数字;

ocredit=-1,至少包含一个特殊字符;

difok=5,新密码最多与旧密码重复5个字符;

enforce_for_root,对root强制执行密码复杂度策略。

二、设置登陆会话超时

测评指标:身份鉴别

测评结果:未在/etc/profile中设置TMOUT数值。

修复建议:建议设置用户登录超时锁定时间,空闲一定时间后自动退出。

[root@localhost ~]# vi /etc/profile

# 追加以下部分

echo "export TMOUT=180"

[root@localhost ~]# source /etc/profile

三、设置登陆失败锁定

测评指标:身份鉴别

测评结果:未在/etc/pam.d/system-auth中配置操作系统账户锁定策略;

修复建议:建议合理配置登录失败处理功能,对登录次数和锁定时间进行合理配置,如:登录失败次数5次,登录失败锁定时间30分钟。

连续五次密码错误,账号将被锁定半小时

[root@localhost ~]# vi /etc/pam.d/system-auth

auth required pam_tally2.so onerr=fail deny=5 unlock_time=1800 root_unlock_time=1800

此项配置只对控制台有效,ssh无效。

如果需要对ssh远程有效,则需要修改 /etc/pam.d/sshd

[root@localhost ~]# vi /etc/pam.d/sshd

auth required pam_tally2.so onerr=fail deny=5 unlock_time=1800 root_unlock_time=1800

参数说明:

onerr=fail       表示定义了当出现错误时的缺省返回值;

deny           表示设置普通用户和root用户连续错误登陆的最大次数,超过最大次数,则锁定该用户;

unlock_time        表示设定普通用户锁定后,多少时间后解锁,单位是秒;

root_unlock_time   表示设定root用户锁定后,多少时间后自动解锁否则手动,单位是秒;

四、设置密码有效期

测评指标:用户帐户和环境

测评结果:未在/etc/login.defs中配置

修复建议:在/etc/login.defs文件中将PASS_MAX_DAYS参数设置为365:

[root@localhost ~]# vi /etc/login.defs

#密码的最大有效期

PASS_MAX_DAYS   365

#是否可修改密码,多少天后可修改

PASS_MIN_DAYS   0

#密码最小长度,pam_pwquality设置优先

PASS_MIN_LEN    8

#密码失效前多少天在用户登录时通知用户修改密码

PASS_WARN_AGE   15

以上设置只针对新用户生效,老用户不生效

#以下为老用户生效

[root@localhost ~]# chage -M 180 用户名

centos 等保漏洞修复的更多相关文章

  1. 关于阿里云ECS Centos 5/6/7 Linux Glibc库严重安全漏洞修复方法

    日前Linux GNU glibc标准库的 gethostbyname函数爆出缓冲区溢出漏洞,漏洞编号为CVE-2015-0235.黑客可以通过gethostbyname系列函数实现远程代码执行,获取 ...

  2. CVE-2018-1111劫持dhcp造成centos代码执行漏洞

    0x01 漏洞概述 近日,红帽官方发布了安全更新,修复了编号为CVE-2018-1111的远程代码执行漏洞,攻击者可以通过伪造DHCP服务器发送响应包,攻击红帽系统,获取root权限并执行任意命令. ...

  3. discuzX3.2 X3.4网站漏洞修复 SQL注入与请求伪造攻击利用与修复

    2018年12月9日,国内某安全组织,对discuz X3.2 X3.4版本的漏洞进行了公开,这次漏洞影响范围较大,具体漏洞是discuz 的用户前段SQL注入与请求伪造漏洞,也俗称SSRF漏洞,漏洞 ...

  4. 【渗透测试】Squirrelmail远程代码执行漏洞+修复方案

    最近网上有点不太平,爆出各种漏洞,等下会把近期的漏洞复现一下,发出来.安全圈的前辈总是默默的奉献,在这里晚辈们只能站在巨人的肩膀上,跟紧前辈们的步伐,走下去. -------------------- ...

  5. Web安全常见漏洞修复建议

    转载地址:https://security.pingan.com/blog/17.html SQL注入 在服务器端要对所有的输入数据验证有效性. 在处理输入之前,验证所有客户端提供的数据,包括所有的参 ...

  6. 织梦dedecms漏洞修复大全(5.7起)

    很多人说dedecms不好,因为用的人多了,找漏洞的人也多了,那么如果我们能修复的话,这些都不是问题. 好,我们来一个一个修复.修复方法都是下载目录下该文件,然后替换或添加部分代码,保存后上传覆盖(记 ...

  7. Jsp万能密码漏洞修复例子

    更多详细内容请查看:http://www.111cn.net/jsp/Java/58610.htm 如果网站出现这种“万能密码”漏洞该怎么办呢 'or'='or' 漏洞修复 方法有很多在这里介绍两种, ...

  8. appscan 安全漏洞修复办法

    appscan 安全漏洞修复办法http://www.automationqa.com/forum.php?mod=viewthread&tid=3661&fromuid=21

  9. 腾讯云发布runC容器逃逸漏洞修复公告

    尊敬的腾讯云客户,您好:  近日,腾讯云安全中心监测发现轻量级容器运行环境runc被爆存在容器逃逸漏洞,攻击者可以在利用该漏洞覆盖Host上的runc文件,从而在Host上以root权限执行代码. 为 ...

  10. Mysql漏洞修复方法思路及注意事项

    [系统环境] 系统环境:Red Hat Enterprise Linux Server release 5.4 (Tikanga)  +  5.7.16 MySQL Community Server  ...

随机推荐

  1. vue学习笔记:vue.js基础语法

    一.VUE 概述 Vue (读音 /vjuː/,类似于 view) 是一套用于构建用户界面的渐进式框架.与其它大型框架不同的是,Vue 被设计为可以自底向上逐层应用.Vue 的核心库只关注视图层,不仅 ...

  2. 爬小说_BeautifulSoup解析_easy

    title: 爬小说_BeautifulSoup解析_easy author: 杨晓东 permalink: 爬小说_BeautifulSoup解析_easy date: 2021-10-02 11: ...

  3. sql(上)例题

    一.数据库概述 数据库(DataBase,DB):指长期保存在计算机的存储设备上,按照一定规则组织起来,可以被各种用户或应用共享的数据集合. 数据库管理系统(DataBase Management S ...

  4. Matplotlib 网格线

    我们可以使用 pyplot 中的 grid() 方法来设置图表中的网格线. grid() 方法语法格式如下: matplotlib.pyplot.grid(b=None, which='major', ...

  5. windows与linux下的路径区别

    windows与linux下的路径区别windows用的是"\",linux用的是"/"这一点要特别清楚,, ps:在PHP windows也可以用/表示路径 ...

  6. MSF设置监听

    一.msf需要生成一个payload 需要生成一个paylaod,window下面生成一个exe,注意:权限不够用sudo权限 sudo ./msfvenom -p windows/x64/meter ...

  7. Vue项目使用/deep/报错:SassError: expected selector解决方案--亲测有效

    项目npm run dev报错如下: 解决方法: 尝试用 ::v-deep 替换 /deep/ ,成功解决了问题. 效果如下图所示(完美解决~) 某些预处理器(例如Sass)可能无法>>& ...

  8. 一条sql同时返回多个count结果

    select * from (select alarm_content name, count(id) `count` from ai_alarm WHERE alarm_content IS NOT ...

  9. Gitlab Ubuntu部署

    一.安装存储库 sudo curl -s https://packages.gitlab.com/install/repositories/gitlab/gitlab-ce/script.deb.sh ...

  10. Linux网络第四章:SSH远程管理及通过SSH实现服务器之间的免密连接

    目录 一.SSH远程管理基础 1.ssh协议 2.ssh原理 3.配置文件解析 4.登录方法 5.使用ssh协议传输的命令 二.免密连接的实现 1.免密连接原理 2.免密实现环境准备 3.在客户端生成 ...