centos 等保漏洞修复

一、设置密码复杂度

[root@localhost ~]# vi /etc/pam.d/system-auth
password requisite pam_pwquality.so try_first_pass local_users_only retry=3 authtok_type= minlen=8 lcredit=-1 ucredit=-1 dcredit=-1 ocredit=-1 difok=5 enforce_for_root

参数说明：
负数：代表最少出现次数，
正数：代表最多出现次数
minlen = 8，密码长度至少8位；
lcredit=-1，至少包含一个小写字母；
ucredit=-1，至少包含一个大写字母；
dcredit=-1，至少包含要给数字；
ocredit=-1，至少包含一个特殊字符；
difok=5，新密码最多与旧密码重复5个字符；
enforce_for_root，对root强制执行密码复杂度策略。

二、设置登陆会话超时

测评指标：身份鉴别

测评结果：未在/etc/profile中设置TMOUT数值。

修复建议：建议设置用户登录超时锁定时间，空闲一定时间后自动退出。

[root@localhost ~]# vi /etc/profile
# 追加以下部分
echo "export TMOUT=180"
[root@localhost ~]# source /etc/profile

三、设置登陆失败锁定

测评指标：身份鉴别

测评结果：未在/etc/pam.d/system-auth中配置操作系统账户锁定策略；

修复建议：建议合理配置登录失败处理功能，对登录次数和锁定时间进行合理配置，如：登录失败次数5次，登录失败锁定时间30分钟。

连续五次密码错误，账号将被锁定半小时
[root@localhost ~]# vi /etc/pam.d/system-auth
auth required pam_tally2.so onerr=fail deny=5 unlock_time=1800 root_unlock_time=1800

此项配置只对控制台有效，ssh无效。
如果需要对ssh远程有效，则需要修改 /etc/pam.d/sshd
[root@localhost ~]# vi /etc/pam.d/sshd
auth required pam_tally2.so onerr=fail deny=5 unlock_time=1800 root_unlock_time=1800

参数说明：
onerr=fail       表示定义了当出现错误时的缺省返回值；
deny           表示设置普通用户和root用户连续错误登陆的最大次数，超过最大次数，则锁定该用户；
unlock_time        表示设定普通用户锁定后，多少时间后解锁，单位是秒；
root_unlock_time   表示设定root用户锁定后，多少时间后自动解锁否则手动，单位是秒；

四、设置密码有效期

测评指标：用户帐户和环境

测评结果：未在/etc/login.defs中配置

修复建议：在/etc/login.defs文件中将PASS_MAX_DAYS参数设置为365：

[root@localhost ~]# vi /etc/login.defs 
#密码的最大有效期
PASS_MAX_DAYS   365
#是否可修改密码，多少天后可修改
PASS_MIN_DAYS   0
#密码最小长度，pam_pwquality设置优先
PASS_MIN_LEN    8
#密码失效前多少天在用户登录时通知用户修改密码
PASS_WARN_AGE   15

以上设置只针对新用户生效，老用户不生效
#以下为老用户生效
[root@localhost ~]# chage -M 180 用户名