前言

基线检查和安全加固是安全服务中重要的部分，招聘要求以及面试提问中出现的频率也比较高，虽然现在部分企业使用工具进行基线检查并加固，但是如果企业只有一两台服务器需要进行基线加固的话，使用工具就没有必要了，所以学习手工基线加固还是十分有必要的。本文对Linux基线加固进行实操讲解，使用的是CentOS 7系统，相关内容需要根据企业实际情况做相应的更改！

一、身份鉴别

1.1、配置口令复杂度（必须实施）

在/etc/pam.d/system-auth文件中配置：
password  requisite pam_cracklib.so difok=3 minlen=8 ucredit=-1 lcredit=-1 dcredit=1

• password requisite pam_cracklib.so：这表示当用户更改密码时，需要使用pam_cracklib模块来检查密码的强度。如果密码不满足pam_cracklib的要求，密码更改将被拒绝
• difok=3：这个参数指定密码中必须有至少3个字符与旧密码不同。这是为了防止用户通过只更改一两个字符来绕过密码更改的要求
• minlen=8：这表示密码的最小长度必须是8个字符
• ucredit=-1：这个参数指定密码中必须包含至少一个大写字母。-1表示至少需要一个大写字母，如果设置为0，则不强制要求大写字母
• lcredit=-1：这个参数指定密码中必须包含至少一个小写字母。-1表示至少需要一个小写字母，如果设置为0，则不强制要求小写字母
• dcredit=1：这个参数指定密码中必须包含至少一个数字。1表示至少需要一个数字，如果设置为0，则不强制要求数字

总的来说就是设置密码至少8位，包含1位大字母、1位小写字母、1位数字：

1.2、配置口令认证失败锁定次数（必须实施）

在/etc/pam.d/system-auth文件中配置：

auth required pam_tally.so onerr=fail deny=10 unlock_time=300

• auth required pam_tally.so：这表示当用户尝试认证时，需要使用pam_tally模块来跟踪失败的登录尝试。如果用户连续多次登录失败，该模块将锁定账户
• onerr=fail：这个参数指定如果pam_tally模块失败（例如，因为账户被锁定），则认证过程将立即失败，不会尝试其他认证模块
• deny=10：这个参数指定在账户被锁定之前允许的最大失败登录尝试次数，如果用户连续10次登录失败，账户将被锁定
• unlock_time=300：这个参数指定账户锁定的时间长度（以秒为单位），如果账户被锁定，它将在300秒（即5分钟）后自动解锁

1.3、配置口令生存期（必须实施）

在/etc/login.defs文件中配置：

PASS_MAX_DAYS   90      #新建用户的密码最长使用天数
PASS_MIN_DAYS   0        #新建用户的密码最短使用天数
PASS_WARN_AGE   7      #新建用户的密码到期提前提醒天数

1.4、配置使用SSH方式远程访问（必须实施）

使用service sshd status命令查看SSH服务状态：

使用service telnetd status命令查看telnetd状态（要关闭该服务或者不安装该服务），我没有安装该服务所以查询不到该服务：

1.5、配置历史口令使用策略（建议实施）

在/etc/pam.d/system-auth文件中配置：

password sufficient pam_unix.so ............ remember=5    #直接在对应的行后面添加remember=5

二、访问控制

2.1、禁用共享账户（必须实施）

使用cat /etc/passwd命令查看所用的用户信息，与管理员确认是否存在共享账户

2.2、锁定无关账户（必须实施）

方式一：使用 vim /etc/passwd命令，将需要锁定的无关账户的shell域后面添加nologin