文章目录
1 设备密码复杂度策略 2 设备密码生存周期、最小长度、更改最小间隔天数和过期前警告天数 3 使用 PAM 认证禁止指定组之外的用户使用 su 切换到 root 4 制作用户权限对照表
1 、配置内容
检查密码复杂度策略中设置的特殊字符、大写字母、小写字母和数字的个数。
2 、配置要求
密码复杂度策略要设置必须包括特殊字符、大写字母、小写字母和数字。
3 、配置方法
修改/etc/security/pwquality.conf 文件,在文件尾部添加如下配置:
lcredit = -1
ucredit = -1
dcredit = -1
ocredit = -1
注:ucredit:大写字母个数;lcredit:小写字母个数;dcredit:数字个数;ocredit:特殊字符个数 ,-1 表示至少 1 个。
minlen 表示密码长度。
/etc/security/pwquality.conf 文件中的密码长度设置优先级高于/etc/login.defs 文件设置,而用 root 用户配置用户时必须配置密码
(否则切换用户后无法修改密码),
而密码可不遵守密码复杂度策略要求,但是会遵守/etc/login.defs 中设置的最短密码有效期的规定,在规定时间内不能修改密码。
配置脚本:
cp /etc/security/pwquality.conf /etc/security/pwquality.conf.bak
echo 'lcredit = -1
ucredit = -1
dcredit = -1
ocredit = -1' >> /etc/security/pwquality.conf
1 、配置内容
配置设备密码生存周期、最小长度、更改最小间隔天数和过期前警告天数。
2 、配置要求
设备密码生存周期小于等于 90 天;最小长度大于等于 8 个字符;更改最小间隔天数为 2 天;过期前警告天数为大于等于 7 天。
3 、配置方法
修改/etc/login.defs 文件,文件对应参数如下:
PASS_MAX_DAYS 90
PASS_MIN_DAYS 2
PASS_MIN_LEN 8
PASS_WARN_AGE 14
根据要求,修改上面对应参数的值。
配置脚本:
cp /etc/login.defs /etc/login.defs.bak
sed -i -r 's#(^PASS_MAX_DAYS)(.*)#\1 90#g' /etc/login.defs
sed -i -r 's#(^PASS_MIN_DAYS)(.*)#\1 7#g' /etc/login.defs
sed -i -r 's#(^PASS_MIN_LEN)(.*)#\1 8#g' /etc/login.defs
sed -i -r 's#(^PASS_WARN_AGE)(.*)#\1 7#g' /etc/login.defs
1 、配置内容
使用 PAM 认证禁止指定组之外的用户使用 su 切换到 root。
2 、配置要求
使用 PAM 认证禁止指定 wheel 组之外的用户使用 su 切换到 root。
3 、配置方法
编辑/etc/pam.d/su 文件,配置认证组,指定特定组的成员用户才可以使用 su 命令切换成为 root 用户。
开启如下配置:
auth sufficient pam_wheel.so trust use_uid
auth required pam_wheel.so use_uid
配置方法如下:
sed -i -r 's/^#auth/auth/g' /etc/pam.d/su
然后为用户添加组:
usermod -G wheel 用户
注意:开启后默认是 wheel 组的用户才可以,如要指定特定组(组要已经创建),以 cool 组为例,配置如下:
auth required pam_wheel.so use_uid group = cool
用 group = 组名来指定。
配置脚本:
sed -i -r 's/^#auth/auth/g' /etc/pam.d/su
sed -i -r 's/^(auth.*required.*pam_wheel.so use_uid)/\1 group=cool/g' /etc/pam.d/su
1 、检查内容
检查操作系统用户权限表,确认当前的用户权限设置是否正确
2 、配置要求
制定操作系统的用户权限表,并根据权限表进行用户权限分配,用户权限表至少包括这几个字段:IP 地址、帐户名、权限、使用
者等信息
3 、配置方法
用wps表格工具制作操作系统的用户权限表。
