修改服务器配置文件/etc/pam.d/system-auth，但是，把一下配置放在password的配置第一行才会生效

1. 执行命令：配置口令要求：大小写字母、数字、特殊字符组合、至少8位，包括强制设置root口令！

sed -i '14a  password    requisite     pam_pwquality.so try_first_pass local_users_only retry=3 authtok_type= minlen=8 lcredit=-1 ucredit=-1 dcredit=-1 ocredit=-1 difok=5 enforce_for_root' /etc/pam.d/system-auth

1. 修改配置/etc/login.defs文件（注：这里文件配置未能进行强制要求，只能做形式使用）

命令：

sed -i 's/PASS_MIN_LEN.*$/PASS_MIN_LEN    8/g' /etc/login.defs

配置口令过期策略

1. 修改配置/etc/login.defs文件（注：这里修改配置文件仅对后期新建得账户有效，root账户无效）

sed -i 's/PASS_MAX_DAYS.*$/PASS_MAX_DAYS   90/g' /etc/login.defs

1. root账户口令过期方法，可参照：

Linux 正确修改账户的过期时间_pass_max_days 90-CSDN博客

使用的命令：

chage -M 90 root

配置登录失败处理策略

1. 修改配置文件：/etc/pam.d/sshd，该配置仅对采用SSH协议登录的方式有效

表示：登录失败5次锁定账户30分钟！

sed -i '1a auth       required     pam_tally2.so deny=5 unlock_time=1800 even_deny_root root_unlock_time=1800' /etc/pam.d/sshd 

1. 修改配置文件：/etc/pam.d/system-auth，该配置是对sudo [账户]登录方式有效，

表示：登录失败5次锁定账户30分钟！

sed -i '3a auth        required      pam_tally2.so deny=5 unlock_time=1800 even_deny_root root_unlock_time=1800' /etc/pam.d/system-auth

1. 其实登录失败还需要更改一个文件，但不建议，该文件为限制终端界面的操作登录失败处理策略！实际运维中，均是采用SSH协议、sudo方式进行登录服务器，如修改该配置，出现问题，无法使用操作界面登录服务器！

修改配置文件：/etc/pam.d/login

sed -i '2a auth       required pam_tally2.so deny=5 unlock_time=1800 even_deny_root root_unlock_time=1800' /etc/pam.d/login

修改日志配置，保证至少六个月存储时间

命令，但这种配置不合理，尽量定期备份，或者搭建日志服务器实时收集日志！（注：备份脚本请参考：等保2.0之Linux系统日志备份_linux审计记录保存180天-CSDN博客）

sed -i 's/rotate.*$/rotate 30/g' /etc/logrotate.conf

修改敏感信息泄露与登录超时自动退出策略

1. 修改敏感信息泄露

sed -i 's/HISTSIZE=.*$/HISTSIZE=0/g' /etc/profile

1. 登录超时10分钟无操作自动退出

echo "export TMOUT=600" >> /etc/profile

1. 更新/etc/profile文件，才会生效

source /etc/profile

权限分配：可以新建两个账户，无强制固定权限说法

echo "Aa1@#3456789qazwsx"|passwd --stdin audit
echo "Aa1@#78903456qazwsx"|passwd --stdin operater