Centos7等保三级整改（等级保护3.0内容）

一、操作系统的检测

　　1、设置密码安全策略

　　　　1）修改vim /etc/login.defs文件

#vim /etc/login.defs
PASS_MAX_DAYS   90  　　      # 密码最长过期天数
PASS_MIN_DAYS   80  　　　    # 密码最小过期天数
PASS_MIN_LEN    16  　　　　  # 密码最小长度
PASS_WARN_AGE   14   　　　   # 密码过期警告天数

　　　　 2）修改/etc/pam.d/system-auth文件

vim /etc/pam.d/system-auth
在 password requisite pam_cracklib.so 一行换成如下内容：

password  requisite pam_cracklib.so retry=5  difok=3 minlen=10 ucredit=-1 lcredit=-3 dcredit=-3 dictpath=/usr/share/cracklib/pw_dict

参数含义：

尝试次数：5 ；最少不同字符：3 ；最小密码长度：10 ；最少大写字母：1；最少小写字母：3 ；最少数字：3 ；字典位置：/usr/share/cracklib/pw_dict

2、查看是否存在特权用户，通过判断uid是否为0来查找系统是否存在特权用户，使用命令awk即可查出

awk -F: '$3==0 {print $1}' /etc/passwd

　　3、查看是否存在空口令用户

　　　　在/etc/passwd中用户的密码是被保护的状态，即使用了*号来隐藏。而实际的密码内容是加密后

　　保存在/etc/shadow文件中了，我们确认是否存在空口令的用户就确认该文件中密码对应字段的长度是否为0，

　　如果为0则证明该用户密码为空。

awk -F: 'length($2)==0 {print $1}' /etc/shadow

　　4、删除多余的账号

userdel uucp
userdel nuucp
userdel lp
userdel adm
userdel sync
userdel shutdown
userdel halt
userdel news
userdel operator
userdel gopher
userdel bin
userdel mail
userdel games
userdel ftp
userdel vcsa
userdel abrt
userdel ntp
userdel saslauth
userdel tcpdump

　　5、日志权限不得大于640 设置日志权限为640

chmod 640 /var/log/messages
chmod 640 /var/log/secure
chmod 640 /var/log/audit/audit.log

　　6、添加审计账号

useradd audit
usermod -G audit audit

　　7、添加审计

vim /etc/audit/rules.d/audit.rules
-a exit,always -F arch=b64 -S umask -S chown -S chmod
-a exit,always -F arch=b64 -S unlink -S rmdir
-a exit,always -F arch=b64 -S setrlimit
-a exit,always -F arch=b64 -S setuid -S setreuid
-a exit,always -F arch=b64 -S setgid -S setregid
-a exit,always -F arch=b64 -S sethostname -S setdomainname
-a exit,always -F arch=b64 -S adjtimex -S settimeofday
-a exit,always -F arch=b64 -S mount -S _sysctl
-w /etc/group -p wa
-w /etc/passwd -p wa
-w /etc/shadow -p wa
-w /etc/sudoers -p wa
-w /etc/ssh/sshd_config
-w /etc/bashrc -p wa
-w /etc/profile -p wa
-w /etc/profile.d/
-w /etc/aliases -p wa
-w /etc/sysctl.conf -p wa
-w /var/log/lastlog
# Disable adding any additional rules - note that adding *new* rules will require a reboot

　　8、将/var/log/赋给audit

chown audit:audit -R /var/log
chown root:root -R /var/log/audit

　　9、禁止root登陆

vim /etc/ssh/sshd_config
PermitRootLogin no

　　10、日志上传服务器

vim  /etc/rsyslog.conf
*.info;mail.none;news.none;authpriv.none;cron.none /var/log/messages
*.* @@172.16.x.xx:514
*.* @172.16.x.xx:514

　　11、登陆失败处理

vim /etc/pam.d/system-auth

在对应的auth段添加如下内容
auth        required      pam_tally2.so onerr=fail deny=5 unlock_time=300

在对应的password段添加如下内容
password    requisite     pam_cracklib.so minlen=8 ucredit=-1 lcredit=-1 dcredit=-1 ocredit=-1
 
vim  /etc/profile
export TMOUT=600

　　12、ssh配置

修改/etc/ssh/sshd_config配置文件

ssh访问控制
AllowUsers <userlist> 
AllowGroups <grouplist> 
DenyUsers <userlist> 
DenyGroups <grouplist> 

配置加密算法
Ciphers aes256-ctr,aes192-ctr,aes128-ctr  # 使用已批准的加密类型
MACs hmac-sha2-512,hmac-sha2-256          # 使用已批准的Mac算法

密码验证
PermitEmptyPasswords no  # 禁止无密码访问服务器
PermitRootLogin yes      # 是否禁止使用root登录(为方便管理，暂未收回权限)
如果禁用root需要创建一个超级管理员。

openssh主机认证
HostbasedAuthentication no

限制用户认证次数
MaxAuthTries 4  # 等保三要求该值小于等于 4

ssh空闲超时
ClientAliveInterval 300  # 小于等于300s
ClientAliveCountMax 3    # 存活用户数小于等于3