以上是本次实战的任务描述和要求,下面我将分析本次实战的操作过程,这是整个实战内容的第3部分,其他2部分后面会进行分享,希望对大家有一定的帮助。
一、系统登录加固(需 root 权限执行)
1. SSH 服务加固(限制失败认证次数)
SSH 服务的核心配置文件为/etc/ssh/sshd_config,需调整参数限制失败登录次数。
修改配置文件:
在文件中添加或修改以下参数(确保无重复配置):
验证配置有效性:
重启 SSH 服务使配置生效:
验证效果:
使用另一终端尝试 SSH 登录,故意输入错误密码,第 3 次失败后应被拒绝连接(提示 “Too many authentication failures”)。
2. 终端超时配置(180 秒自动登出)
通过配置 shell 环境变量TMOUT实现终端超时自动登出,适用于所有用户。
配置全局超时参数:
在文件末尾添加:
使配置立即生效:
验证效果:
保持终端闲置 3 分钟,会自动退出登录(提示 “timed out waiting for input: auto-logout”)。
3. 客户端存活性检测(每分钟检查 3 次终端超时配置)
通过定时任务周期性检查TMOUT配置是否生效,确保终端超时策略未被篡改。
创建检查脚本:
脚本内容:
添加执行权限:
配置定时任务(每分钟执行 3 次):
由于 crontab 最小粒度为 1 分钟,需通过循环脚本实现 20 秒间隔检查:
添加以下内容
* * * * * root /usr/local/bin/check_tmout.sh; 和下图结合看
(解释:每分钟执行一次,每次执行脚本后休眠 20 秒,再执行,共 3 次,实现 “每分钟检查 3 次”)
验证定时任务:
二、系统审计管理(基于 auditd 服务)
1. 安装并启动 auditd 服务
openEuler 默认可能已安装 auditd,若未安装需先安装:
2. 配置审计日志使用主机完全合格域名(FQDN)
确保主机 FQDN 已正确配置:
配置 auditd 记录 FQDN:
auditd 日志默认包含主机名,若需明确指定,修改 auditd 配置:
确保以下参数(默认已包含主机名信息):
重启 auditd 服务使配置生效:
3. 添加审计规则(监控目标文件和命令)
审计规则需添加到/etc/audit/rules.d/audit.rules文件,涵盖指定文件的改动和命令的使用。
添加以下规则(每行对应一个审计目标):
规则说明:
-w /path:监控指定文件 / 目录
-p wa:监控 “写操作(w)” 和 “属性修改(a)”
-k key:添加标签(key),便于日志过滤
-a exit,always:监控程序退出事件
-F path=/path:指定命令的二进制文件路径
-F perm=x:监控执行(x)操作
4. 加载审计规则并验证
加载规则:
验证规则是否生效:
查看审计日志(验证效果):
审计日志默认存储在/var/log/audit/audit.log,可通过ausearch工具过滤:
测试方法:执行rm test.txt(创建 test.txt 后删除),或修改/etc/hosts,然后查看审计日志是否有相应记录。
三、整体验证与总结
- SSH 加固验证
通过另一终端尝试 SSH 登录,输入错误密码 3 次,确认被拒绝。
- 终端超时验证
闲置终端 3 分钟,确认自动登出。
- 存活性检测验证
故意修改
/etc/profile中的 TMOUT 值,20 秒内查看/var/log/tmout_check.log,确认日志记录异常并自动修复。 - 审计规则验证
修改
/etc/hosts或执行reboot(需谨慎,建议测试环境),通过ausearch确认日志记录完整。通过以上配置,openEuler 操作系统的登录安全性和审计能力
将显著提升,满足任务要求。
以上就是本次实战第四部分的所有内容,那么其他2部分实战内容是什么,我这里给大家公布下:
1、适配环境搭建
包括了实战环境说明、系统安装与配置、DNS配置、CA配置、https配置、mysql服务配置、WordPress站点搭建、NFS服务配置、
2、应用系统迁移
包括了数据库配置与管理、数据库适配迁移
不想错过文章内容?读完请点一下“在看
”,加个“关注”,您的支持是我创作的动力
期待您的一键三连支持(点赞、在看、分享~)
扫一扫
3
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
