《统信UOS》设置等保三级

1、环境，os：102X 架构：all ***文档无例外说明需要用的是root用户登陆系统操作***

2、设置密码复杂度在设置之前最好将文件进行备份，cp /etc/pam.d/common-passwd /etc/pam.d/common-passwd.back设置密码复杂度有两种方式：第一种方式：A：通过libpam-pwquality依赖包设置，确保系统是否安装了密码复杂度的相关依赖包。依赖包的查看方式 dpkg -l libpam-pwquality修改为：vim /etc/pam.d/common-passwdpassword requisite pam_pwquality.so retry=3 enforce_for_root minlen=8 minclass=4 maxsequence=3 maxrepeat=3参数说明：retry=3 此选项将提示用户3次，然后退出并返回错误enforce_for_root 即使是配置root用户的密码，也必须遵守密码策略minlen=8 密码最少长度8位minclass=4 密码至少有四种特殊字符（大写字母、小写字母、数字、特殊符号）maxsequence=3 在新密码中设置单调字符序列的最大长度。（如'123'，'fed）maxrepeat=3 设置密码中只允许最多3个连续的字符相同参数后面的数字可以修改B：通过libpam-cracklib依赖包设置，确保系统是否安装了密码复杂度的相关依赖包。依赖包的查看方式 dpkg -l libpam-cracklib，如果没有安装需要用apt install -y libpam-cracklib 进行安装。vim /etc/pam.d/common-passwdpassword requisite pam_cracklib.so retry=3 minlen=8 ucredit=-1 lcredit=-1 dcredit=-1 ocredit=-1 enforce_for_root参数说明：ucredit=-1 必须至少包含一个大写字母lcredit=-1 必须至少包含一个小写字母dcredit=-1 必须至少包含一个数字ocredit=-1 必须至少包含一个标点符号上述设置中需要用的安装包安装时提示是否覆盖原来的pam文件，选择确认即可原有的配置文件会被覆盖，因此最好是将系统中的/etc/pam.d目录进行备份。建议cp -ar /etc/pam.d /etc/pam.d-back命令进行备份。3、设置密码过期时间在设置之前将文件备份 cp /etc/login.defs /etc/login.defs.back编辑文件第160行，161行，162行内容： vim /etc/login.defs参数说明：PASS_MAX_DAYS 45 ##设置密码最多可多少天不修改PASS_MIN_DAYS 5 ##设置密码修改之间最小的天数PASS_WARN_AGE 6 ##设置密码失效前多少天通知用户变量和数值中需要用空格隔开，不能写在一起，数值可以变化4、设置保留用户命令历史记录设置之前将配置文件备份 cp /etc/profile /etc/profile.back设置内容：vim /etc/profile参数说明HISTSIZE=500 ##设置保存历史命令的记录是500条export HISTSIZE ##设置参数生效5、设置登陆时间超时5.1,设置本地登陆超时设置之前备份配置文件 cp /etc/pam.d/login /etc/pam.d/login.back(如果有按照上文介绍备份了/etc/pam.d的目录，就可以不用执行此次备份策略)设置要求：密码输入错误10次，锁定10分钟之后解锁，同时对root用户生效，root用户锁定10分钟后解锁。配置内容vim /etc/pam.d/login，需要在第一行中写入参数说明pam_tally2.so 调用动态库deny=10 设置普通用户和root用户连续错误登陆的最大次数，超过最大次数，则锁定该用户unlock_time=600 设定普通用户锁定后，多少时间后解锁，单位是秒even_deny_root 也限制root用户root_unlock_time=600 设定root用户锁定后，多少时间后解锁，单位是秒5.2,设置ssh远程登陆设置之前备份配置文件 cp /etc/pam.d/ssh /etc/pam.d/ssh.back(如果有按照上文介绍备份了/etc/pam.d的目录，就可以不用执行此次备份策略)密码输入错误10次，锁定10分钟之后解锁，同时对root用户生效，root用户锁定10分钟后解锁。设置内容：vim /etc/pam.d/ssh设置参数：deny=10 #设置普通用户和root用户连续错误登陆的最大次数，超过最大次数，则锁定该用户。unlock_time=600 #设定普通用户锁定后，多少时间后解锁，单位是秒vim /etc/ssh/sshd_config设置前需要备份文件，cp /etc/ssh/sshd_config /etc/ssh/sshd_config.back6、服务器禁止root用户远程登陆root_unlock_time=600 #设定root用户锁定后，多少时间后解锁，单位是秒even_deny_root #也限制root用户unlock_time=600 #设定普通用户锁定后，多少时间后解锁，单位是秒将PermitRootLogin yes 改为 PermitRootLogin no 或者 #PermitRootLogin yes修改完成之后需要重启服务生效，重启服务命令systemctl restart sshd7、登陆超时后自动退出登陆上述第4已经将文件备份可以直接设置vim /etc/profile参数说明export TMOUT=5600 设置超时时间为5600秒 参数值可以自己指定设置完成之后需要重新登陆终端生效。或者使用source /etc/profile 命令，如果结果有报错会导致不能再次登陆系统，如果没有任何提示信息表示设置成功。8、设置ssh登陆信息修改文件：vim /etc/motd内容可以是任何字符保存文件9、限制服务器访问地址范围三级等保里面需要控制服务器登入地址范围，通过hosts.allow或hosts.deny设置。说明：1.检查策略是先看/etc/hosts.allow中是否允许，如果允许直接放行；如果没有，则再看/etc/hosts.deny中是否禁止，如果禁止那么就禁止连入。2.对/etc/hosts.allow和/etc/hosts.deny的配置不用重启就立即生效，但不管重启不重启当前已有会话都不会受影响；3.独立启的不用加in.托管于xinetd的需要加in. 比如：in.sshd配置不允许该ip ssh登入，在hosts.deny添加行。例：sshd:192.168.100.1

以上内容全部设置完毕，建议重启系统后验证设置是否生效