强化等保测评：Linux主机密码策略与安全加固详解

在进行等保测评时，针对Linux主机的整改工作至关重要，尤其是针对密码策略和系统安全加固。首先，我们来关注密码管理方面： 1. 密码安全强化：根据等保测评要求，Linux主机的密码应遵循定期更换原则，建议每90天更换一次，且至少8个字符长度。为了实现这一点，管理员需修改/etc/login.defs文件中的密码有效期相关设置。具体操作是使用`sed`命令将`PASS_MAX_DAYS`设为90，`PASS_MIN_DAYS`设为1，`PASS_WARN_AGE`设为28天，以及`PASS_MIN_LEN`设为8。 ```bash sed -i.bak-r '/^PASS_MAX_DAYS/s/99999/90/' /etc/login.defs sed -i.bak-r '/^PASS_MIN_DAYS/s/0/1/' /etc/login.defs sed -i.bak-r '/^PASS_WARN_AGE/s/7/28/' /etc/login.defs sed -i.bak-r '/^PASS_MIN_LEN/s/5/8/' /etc/login.defs ``` 2. 密码复杂度配置：在/etc/pam.d/system-auth配置文件中，增加`pam_cracklib.so`模块来增强密码复杂性。通过添加`passwordrequisite`指令，设置密码规则，如最小长度8个字符，允许的最少不同字符数、大小写字母、数字的组合，以及字典路径。示例配置如下： ```bash sed '/passwordrequiredpam_deny.so/i\passwordrequisite pam_cracklib.so minlen=8 ucredit=-2 lcredit=-1 dcredit=-4 ocredit=-1' /etc/pam.d/system-auth ``` 这里参数含义如下： - 尝试次数：5次 - 最少不同字符：3个 - 最小密码长度：10个字符 - 最少大写字母：1个 - 最少小写字母：3个 - 最少数字：3个 - 字典路径：/usr/share/cracklib/pw_dict 请注意，这些配置仅涉及部分安全加固措施，实际操作时可能还需考虑其他安全增强，如防火墙规则、权限管理、日志审计、补丁更新等。全面的等保测评Linux主机整改还需要结合具体的安全策略和指导文档执行，确保系统满足等保标准的要求。