828华为云征文|基于Flexus X实例云服务器的实际场景-等保三级服务器设置

news2024/12/26 23:42:27

🔴大家好,我是雄雄,欢迎关注微信公众号:雄雄的小课堂


先看这里

    • 写在前面
    • 3️⃣mysql创建安全管理员、审计管理员
    • ✅解决方法
      • 增加安全管理员
      • 增加审计管理员账户
      • ❌问题描述
      • ✅解决方法
    • 3️⃣linux登录失败问题
      • ❌问题描述
      • ✅解决方法
    • 3️⃣linux设置超时退出
      • ❌问题描述
      • ✅解决方法
    • 3️⃣存在共享root账户的问题
      • ❌问题描述
      • ✅解决方法
        • 👽创建三权分立账户
        • 系统管理员:
        • 安全管理员:
        • 审计管理员的权限
    • 3️⃣历史命令保留条数
      • ❌问题描述
      • ✅解决方法
    • 3️⃣开启防火墙
      • ❌问题描述
      • ✅解决方法
    • 3️⃣开启ip白名单
      • ❌问题描述
      • ✅解决方法

写在前面

今天是9月5日。就在前两天,8月28日,华为云官方针对云服务器推出了一个优惠 力度很大的活动,Flexus X实例的促销也非常给力。所以就迫不及待的拿到了一台。

在拿到服务器后,简单的与隔壁云长的U1机型对比评测了下,从各个维度的表现来看,华为云Flexus X实例的云服务器更胜一筹,详情大家可以看这里:点我查看

如果想具体了解828活动的,可以点击这里查看

今天,我们就来拿手里的这台服务器,设置一下等保三级需要设置的内容。这款服务器部署个boot项目,错错有余!!

3️⃣mysql创建安全管理员、审计管理员

image.png

✅解决方法

增加安全管理员

  1. 需要使用root账户登录到mysql中,我这边使用工具登录。

mysql -u root -p

  1. 创建安全管理员账户使用CREATE USER语句创建一个新的MySQL账户
CREATE USER 'security_admin'@'%' IDENTIFIED BY 'password';

这里security_admin是新账户的用户名,%表示该用户可以远程连接,'password’是用户密码。

  1. 执行完显示如下:

image.png

  1. 分配权限

安全管理员通常需要具有管理用户的权限。使用GRANT语句分配这些权限。

GRANT ALL PRIVILEGES ON *.* TO 'security_admin'@'localhost' WITH GRANT OPTION;


ALL PRIVILEGES表示所有权限,*.*表示所有数据库和表,WITH GRANT OPTION允许该用户授权其他用户。

在这里插入图片描述

  1. 刷新权限

刷新权限应用新权限,需要执行FLUSH PRIVILEGES命令

FLUSH PRIVILEGES;

增加审计管理员账户

  1. 和创建安全管理员的方式一样。
CREATE USER 'audit_admin'@'localhost' IDENTIFIED BY 'password';

  1. 分配权限

分配审计相关的权限审计管理员通常需要能够查看审计日志和监控数据库活动的权限。MySQL原生并不提供审计功能,可能需要使用第三方审计插件或工具。假设你的环境中已经配置了审计功能,你可以授予管理员查看审计日志的权限。

-- 假设审计日志保存在特定的数据库和表中
GRANT SELECT ON sggg.sys_log TO 'audit_admin'@'%';
GRANT SELECT ON sggg.sys_data_log TO 'audit_admin'@'%';


我这边是给sys_log表和sys_data_log表赋权,如果有多个表,则需要多来几条sql语句。

  1. 刷新权限
FLUSH PRIVILEGES;

最后,重新查看一下用户,就可以看到了。

image.png

3️⃣ 设置linux的密码策略

❌问题描述

判断密码复杂度:more /etc/login.defs

在这里插入图片描述

✅解决方法

执行

vi /etc/login.defs

然后直接修改:

  • PASS_MAX_DAYS 90

  • PASS_MIN_LEN 8

保存即可。

image.png

3️⃣linux登录失败问题

##red##
🔴
大家好,我是雄雄,欢迎关注微信公众号:雄雄的小课堂。

❌问题描述

登录失败处理功能:more /etc/pam.d/system-auth

在这里插入图片描述

建议:1、需要在system-auth文件中配置密码复杂度策略:

在这里插入图片描述

image.png

2、配置登录失败处理策略如下:

image.png

✅解决方法

  1. system-auth文件中配置密码复杂度策略:

执行命令:

vi /etc/pam.d/system-auth
  1. 添加密码复杂度设置:
    找到与密码相关的配置行,可能是这样的:
password    requisite     pam_pwquality.so try_first_pass local_users_only retry=3 authtok_type=
  1. 然后,你可以添加pam_pwquality.so模块来设置密码复杂度。例如,要设置密码最小长度为8,你可以添加以下行:
password requisite pam_pwquality.so retry=3 minlen=8 difok=3

参数解释:

  • retry=3:用户在密码输入错误后可以重试的次数。
  • minlen=8:密码的最小长度为8个字符。
  • difok=3:新密码与旧密码至少有3个字符不同。
  1. 重启下ssh服务
sudo systemctl restart sshd
  1. 配置登录失败处理策略

还是在/etc/pam.d/system-auth中增加如下配置:

auth required pam_tally2.so deny=5 unlock_time=180

解释:

  • pam_tally2.so是一个账户访问控制和技术模块
  • deny=5 弄啊配送奇偶大明湖皮5次登录失败时,账户被锁定
  • unlock_time=180 表示账户被锁定后,需要等待180秒才能再次登录

image.png

3️⃣linux设置超时退出

❌问题描述

超时退出功能:more /etc/profile
无TMOUT结果

建议:配置连接超时退出策略,在配置文件/etc/profile中,配置TMOUT参数(看自身需求),防止未授权人员进行误操作行为。

✅解决方法

执行下面的命令:

sudo vi /etc/profile

然后找到这一行代码:

HOSTNAME=`/usr/bin/hostname 2>/dev/null`
HISTSIZE=1000
 
#设置所有用户将在600秒内(即10分钟)无操作后自动注销
TMOUT=600

下面的TMOUT=600就是我们需要设置的超市值

在这里插入图片描述

3️⃣存在共享root账户的问题

❌问题描述

查看每个用户权限:more /etc/sudoers

image.png

image.png

建议:存在共享root账户,应增加安全管理员账户、审计管理员账户,并根据所管理的文件及文件夹分配权限。

详细配置及解释:https://blog.csdn.net/qq_45206551/article/details/105811026

✅解决方法

👽创建三权分立账户
  1. 新建系统管理员
useradd sysadmin
passwd sysadmin
  1. 新建安全管理员
useradd secadmin
passwd secadmin
  1. 新建审计管理员
useradd auditadmin
passwd auditadmin
  1. 修改visudo配置

输入命令:

sudo visudo
系统管理员:
Cmnd_Alias SOFTWARE = /bin/rpm, /usr/bin/up2date, /usr/bin/yum
Cmnd_Alias SERVICES = /sbin/service, /sbin/chkconfig, /usr/bin/systemctl start, /usr/bin/systemctl stop, /usr/bin/systemctl reload, /usr/bin/systemctl restart, /usr/bin/systemctl status, /usr/bin/systemctl enable, /usr/bin/systemctl disable
Cmnd_Alias STORAGE = /sbin/fdisk, /sbin/sfdisk, /sbin/parted, /sbin/partprobe, /bin/mount, /bin/umount
sysadmin ALL=(root) SOFTWARE,SERVICES,STORAGE
安全管理员:
Cmnd_Alias DELEGATING = /usr/sbin/visudo, /bin/chown, /bin/chmod, /bin/chgrp
Cmnd_Alias PROCESSES = /bin/nice, /bin/kill, /usr/bin/kill, /usr/bin/killall
Cmnd_Alias NETWORKING = /sbin/route, /sbin/ifconfig, /bin/ping, /sbin/dhclient, /usr/bin/net, /sbin/iptables, /usr/bin/rfcomm, /usr/bin/wvdial, /sbin/iwconfig, /sbin/mii-tool
secadmin ALL=(root) DELEGATING,PROCESSES,NETWORKING	

审计管理员的权限
auditadmin ALL=(root) NOPASSWD:/usr/sbin/aureport,NOPASSWD:/usr/sbin/autrace,NOPASSWD:/usr/sbin/ausearch,NOPASSWD:/usr/sbin/audispd,NOPASSWD:/usr/sbin/auditctl
  1. 测试配置是否正确
visudo -c

在这里插入图片描述

3️⃣历史命令保留条数

❌问题描述

查看历史命令保留条数:

echo $HISTSIZE

在这里插入图片描述

建议:建议将配置文件/etc/profile文件中的HISTSIZE项,设置值为0~10,保证存有敏感数据的存储空间被释放或重新分配前得到完全清除。

✅解决方法

很简单,直接输入命令,在配置文件中更改即可。

sudo vi /etc/profile

然后找到HISTSIZE,后面本来是1000,改成0-10之间的任意数字就行(按照建议更改)

image.png

为了让更改生效,你可以重新登录或者重新加载配置文件:

source /etc/profile

image.png

3️⃣开启防火墙

❌问题描述

系统防火墙开启状态:

systemctl status firewalld

建议:开启系统防火墙, systemctl start firewalld,并配置相关访问控制端口策略

image.png

✅解决方法

  1. 开启防火墙:
systemctl start firewalld
  1. 查看状态:
systemctl status firewalld

在这里插入图片描述

  1. 开放指定端口,比如443
sudo firewall-cmd --add-port=443/tcp --permanent
  1. 重新加载下配置文件(一定要增加,不然不起作用)
sudo firewall-cmd --reload
  1. #查看所有打开的端口
firewall-cmd --zone=public --list-ports

image.png

3️⃣开启ip白名单

❌问题描述

用于控制可以访问本机的IP地址:

more /etc/hosts.allow

在这里插入图片描述

image.png

建议:修改如上图,需要配置具体的地址(白名单)

配置及解释:https://blog.csdn.net/qq_43868413/article/details/133983652

数据库需要通过服务器进行访问

✅解决方法

  1. 编辑hosts.deny文件:
vi /etc/hosts.deny
  1. 添加如下代码:表示限制所有IP登录
sshd:ALL:deny

image.png

  1. 编辑:hosts.allow ,使得允许某些ip可以访问,添加如下代码:表示放行192.168.222段所有的地址访问
vi /etc/hosts.allow
sshd:192.168.222.*:allow

注意:多个网段或端口之间用,隔开。如下表示允许95.96.3.23地址和192.168.222段的地址访问。

sshd:192.168.222.*,95.96.3.23:allow

这里面需要特别注意的是:

  • hosts.deny:设置ip黑名单

  • hosts.allow:设置ip白名单


经过以上的设置,我们服务器基本上就满足了等保三级的要求了,大家可从评论区中交流交流,等保三级还需要设置哪些内容~

最后,再次推荐这款服务器,真的很不错,小微企业上云就选它足够啦!

在这里插入图片描述

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/2106119.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

ARM N2微架构介绍

简介 之前在“ARM V2处理器微架构介绍”一文中介绍了面向服务器、云计算等应用的ARM V2处理器微架构,V系列具有更强性能,N系列强调性能和功耗等方向的平衡,本文就将介绍一下ARM N2处理器微架构相比较前代的一些提升。尽管ARM还具备一代N1/V1…

【论文阅读】CiteTracker: Correlating Image and Text for Visual Tracking

paper:NorahGreen/CiteTracker: [ICCV23] CiteTracker: Correlating Image and Text for Visual Tracking (github.com) code:NorahGreen/CiteTracker: [ICCV23] CiteTracker: Correlating Image and Text for Visual Tracking (github.com) 简介 现有…

我与Linux的爱恋:Linux的基本指令

​ ​ 🔥个人主页:guoguoqiang. 🔥专栏:Linux的学习 Linux的指令介绍 1.1 pwd pwd用来查看当前目录 1.2 ls指令 ls[选项][目录或文件] 对于目录,该命令列出该目录下的所有子目录与文件。对于文件,将列出文件名以及其他信息 -a 列出目录下的所有文件,包括以 …

对一个已经运行的LabVIEW VI进行控制

要对一个已经运行的LabVIEW VI进行控制,可以采用多种方法,这取决于你想要控制的内容以及具体的应用场景。以下是几种常见的实现方式: 1. 使用全局变量或功能全局变量(FGV) 方法: 你可以创建全局变量或功能全局变量&am…

【揭秘】AdaBoost:那些年,我们一起追过的算法

在往期文章机器学习进阶之路:集成学习带你走向巅峰和揭秘Bagging与随机森林:构建更强大预测模型的秘密中,我们总结了集成学习的原理,并展开介绍了集成学习中Bagging和随机森林这一分枝算法,在本篇博客中,我…

BUUCTF—[BJDCTF2020]The mystery of ip

题解 打开环境点击上面的flag可以看到这个IP页面。 抓个包看看有啥东西无,可以看到在返回包有IP。 看到IP就想到X-Forwarded-For这个玩意,我们用X-Forwarded-For随便添加个IP看看。可以看到返回的IP内容变成了123。 X-Forwarded-For:123 推测它会输出我…

Java-数据结构-ArrayList-练习 ψ(*`ー´)ψ

目录: 一、练习一(删除str1中str2出现的元素): 二、练习二(杨辉三角): 三、练习三(简单的洗牌算法): 总结: 一、练习一(删除str1中str2出现的元素): 我们…

Apple 重發iOS 17.6.1 修正版

蘋果又再次替 iPhone 和 iPad 用戶釋出 iOS 17.6.1更新(21G101),這次更新與8日所推出的 iOS 17.6.1 正式版相同,官方在更新說明內也沒有提到任何修改,依舊是維持修正進階資料保護的問題 iOS 17.6.1 更新修正版內容重點…

JavaEE-HTTPHTTPS

目录 HTTP协议 一、概念 二、http协议格式 http请求报文 http响应报文 URL格式 三、认识方法 四、认识报头 HTTP响应中的信息 HTTPS协议 对称加密 非对称加密 中间人攻击 解决中间人攻击 HTTP协议 一、概念 HTTP (全称为 "超⽂本传输协议") 是⼀种应⽤…

深度学习应用 - 自然语言处理(NLP)篇

序言 在信息技术的浩瀚星空中,深度学习犹如一颗璀璨的新星,正引领着人工智能领域的深刻变革。作为这一领域的核心分支,自然语言处理( NLP \text{NLP} NLP)更是借助深度学习的力量,实现了前所未有的飞跃。自…

4. GIS前端工程师岗位职责、技术要求和常见面试题

本系列文章目录: 1. GIS开发工程师岗位职责、技术要求和常见面试题 2. GIS数据工程师岗位职责、技术要求和常见面试题 3. GIS后端工程师岗位职责、技术要求和常见面试题 4. GIS前端工程师岗位职责、技术要求和常见面试题 5. GIS工程师岗位职责、技术要求和常见面试…

开源还是封闭?人工智能的两难选择

这篇文章于 2024 年 7 月 29 日首次出现在 The New Stack 上。人工智能正处于软件行业的完美风暴中,现在马克扎克伯格 (Mark Zuckerberg) 正在呼吁开源 AI。 关于如何控制 AI 的三个强大观点正在发生碰撞: 1 . 所有 AI 都应该是开…

SpringCloud开发实战(四):Feign远程调用

目录 SpringCloud开发实战(一):搭建SpringCloud框架 SpringCloud开发实战(二):通过RestTemplate实现远程调用 SpringCloud开发实战(三):集成Eureka注册中心 Feign简介 我…

009.Python爬虫系列_urllib模块案例

我 的 个 人 主 页:👉👉 失心疯的个人主页 👈👈 入 门 教 程 推 荐 :👉👉 Python零基础入门教程合集 👈👈 虚 拟 环 境 搭 建 :👉👉 Python项目虚拟环境(超详细讲解) 👈👈 PyQt5 系 列 教 程:👉👉 Python GUI(PyQt5)文章合集 👈👈 Oracle数…

windows安装composer

windows安装composer 1.介绍 Composer 是一个用于PHP的依赖管理工具。Composer允许你声明你的PHP项目所依赖的库,并管理它们。它会安装和更新你项目所需要的库。 Composer为我们的项目提供了两个功能: 帮助PHP进行依赖管理。在项目中实现文件自动加载…

【C/C++】C语言实现蛇形矩阵

目录 题目描述输入描述:输出描述:示例思路代码 题目描述 给你一个整数n&#xff0c;输出n∗n的蛇形矩阵。 输入描述: 输入一行&#xff0c;包含一个整数n 输出描述: 输出n行&#xff0c;每行包含n个正整数&#xff0c;通过空格分隔。 1<n<1000 示例 输入 4输出 …

主题切换过渡切割效果

主题切换过渡切割效果 效果图上代码 效果图 参考api View Transitions API View Transitions API 提供了一种机制&#xff0c;可以在更新 DOM 内容的同时&#xff0c;轻松地创建不同 DOM 状态之间的动画过渡。同时还可以在单个步骤中更新 DOM 内容。 上代码 <!--* Descript…

人工智能造福公众:未来一片光明

作者&#xff1a;来自 Elastic Peter Dutton 我们如何衡量人工智能对政府的影响&#xff1f;毫无疑问&#xff0c;人工智能将为运营流程和决策带来的好处已被广泛讨论 —— 从自动化工作流程到节省成本再到减少重复工作。 但对于以服务公众为目标的组织来说&#xff0c;人工智…

黑马头条docker启动minio访问不了,端口一直变化

原先代码为 docker run -p 9000:9000 --name minio -d --restartalways -e "MINIO_ROOT_USERminio" -e "MINIO_ROOT_PASSWORDminio123" -v /home/data:/data -v /home/config:/root/.minio minio/minio server /data 访问结果为&#xff0c;且9000会变为3…

PostgreSQL的repmgr工具介绍

PostgreSQL的repmgr工具介绍 repmgr&#xff08;Replication Manager&#xff09;是一个专为 PostgreSQL 设计的开源工具&#xff0c;用于管理和监控 PostgreSQL 的流复制及实现高可用性。它提供了一组工具和实用程序&#xff0c;简化了 PostgreSQL 复制集群的配置、维护和故障…