国产操作系统(统信UOS)网络安全等级保护基础安全加固
统一操作系统UOS是由多家企业共同打造的中文国产操作系统。
一、设置口令复杂度策略和有效期
首先安装libpam-pwquality依赖包
口令复杂度策略通过libpam-pwquality依赖包进行设置
依赖包的安装命令:sudo apt-get install libpam-pwquality。
依赖包的查看方式执行命令:dpkg -l libpam-pwquality。
执行命令:vim etc/pam.d/common-passwd
添加:password requisite pam_pwquality.so retry=3 enforce_for_root minlen=8 minclass=4 maxsequence=3 maxrepeat=3
备注:retry=3 此选项将提示用户3次,然后退出并返回错误
enforce_for_root 即使是配置root用户的密码,也必须遵守密码策略
minlen=8 密码最少长度8位
minclass=4 密码至少有四种特殊字符(大写字母、小写字母、数字、特殊符号)
maxsequence=3 在新密码中设置单调字符序列的最大长度
maxrepeat=3 设置密码中只允许最多3个连续的字符相同
二、设置密码过期时间
配置命令:vim etc/login.defs
参数修改:
备注:
PASS_MAX_DAYS 90 ##设置密码最多可多少天不修改
PASS_MIN_DAYS 1##设置密码修改之间最小的天数
PASS_WARN_AGE 7 ##设置密码失效前多少天通知用户
三、设置登录时间超时
1、设置本地登录失败处理
例如设置要求:密码输入错误10次,锁定10分钟之后解锁,同时对root用户生效,root用户锁定10分钟后解锁。
配置命令:vim /etc/pam.d/login
设置内容:
备注
pam_tally2.so 调用动态库
deny=10 设置普通用户和root用户连续错误登录的最大次数,超过最大次数,则锁定该用户
unlock_time=600 设定普通用户锁定后,多少时间后解锁,单位是秒
even_deny_root 也限制root用户
root_unlock_time=600 设定root用户锁定后,多少时间后解锁,单位是秒
2设置ssh远程登录失败处理
例如设置要求:密码输入错误10次,锁定10分钟之后解锁,同时对root用户生效,root用户锁定10分钟后解锁。
配置命令:vim /etc/pam.d/ssh
设置内容:
备注:
deny=10 #设置普通用户和root用户连续错误登录的最大次数,超过最大次数,则锁定该用户。
unlock_time=600 #设定普通用户锁定后,多少时间后解锁,单位是秒
even_deny_root #也限制root用户
root_unlock_time=600 #设定root用户锁定后,多少时间后解锁,单位是秒
四、禁止root用户远程登录
配置命令:vim /etc/ssh/sshd_config
配置内容:
备注:
将PermitRootLogin yes 改为 PermitRootLogin no 或者 #PermitRootLogin yes
修改完成之后需要重启服务生效,重启服务命令systemctl restart sshd
五、登录超时后自动退出登录
配置命令:vim /etc/profile
配置内容:
备注:
export TMOUT=900 设置超时时间为900秒 参数值可以自己指定
设置完成之后需要重新登录终端生效。
六、限制服务器访问地址范围
查看允许登录的地址命令:more /etc/hosts.allow。
查看拒绝登录的地址命令:more /etc/hosts.deny。
此处由于自己单机部署未配置。
七、日志服务器配置
安装日志服务(默认已经安装):apt install -y rsyslog
由于本文单机部署,无日志服务器,配置日志服务器也比较麻烦,偷点懒了,具体配置日志服务器可网上百度,统信配置日志服务器和其他Linux操作系统类似。
八、总结
统信UOS整体效果还不错,就是运行起来有一丢丢卡,也有可能和我的运行环境有关,可能需要一个适应过程,另外部分命令和常见的Linux操作系统有一些差别,其他都还好。
