以下为《3-1-2 基于等保思想实现Linux系统安全防护课件》的无排版文字预览，完整格式请下载

下载前请仔细阅读文字预览以及下方图片预览。图片预览是什么样的，下载的文档就是什么样的。

电子工业出版社项目1 基于等保标准实现Linux主机安全防护

任务2 基于等保思想实现Linux系统安全防护学习单元3 Linux主机安全综合实训任务描述Linux是一个多用户、多任务的操作系统，其开源的特性以及良好的稳定性与安全性，使得Linux操作系统被企业广泛用于部署 IT 业务。

在传统的IT 构架中，设计者往往过多关注底层的网络互通和上层的应用实现，而对中间层包括主机、操作系统、中间件等考虑较少。在安全事件中，多数恰恰是因为主机层防护措施的薄弱，使得病毒、黑客有了可乘之机。而操作系统的瘫痪或失控，其影响将直接传递到上层的应用和数据。

作为IT安全链中的关键环节，该利用什么标准对主机进行安全加固呢？

任务分析《信息安全技术 网络安全等级保护基本要求》2.0版本于2019年12月1日开始实施。等级保护2.0的三级通用要求主机安全部分更名为设备和计算安全，要求其控制点由7项变为6项，要求项由32项变为26项。通过合并及整合相对旧标准略有缩减。

针对重要信息系统在设备和计算安全防护层面的各种需求，《信息安全技术 网络安全等级保护基本要求》从六个方面予以考虑。分别是身份鉴别、访问控制、安全审计、入侵防范、恶意代码防范、资源控制。

任务实施一、身份鉴别

身份鉴别主要通过密码复杂度、口令锁定策略等来实现。用户的身份鉴别信息首先应具有不易被冒用的特点，同时口令应有复杂度要求，最后在管理上要求定期更换；口令锁定策略要求系统具有鉴别失败处理功能，当短时间内多次输入错误用户名、密码，要求采取措施锁定相关用户。

任务实施（1）通过passwd命令设置*** username **（密码）。

（2）编辑文件/etc/pam.d/system-auth，设定密码复杂度：password requisite pam_cracklib.　so try_first_pass retry=3 dcredit=-1 lcredit=-1 ucredit=-1 ocredit=-1 minlen=8，要求包含至少1个数字，1个小写字母，1个大写字母，1个特殊字符，最短长度8位。

（3）编辑文件/etc/login.defs，设定最长密码使用期限：PASS_ MAX_DAYS 120（密码最长使用天数不超过120天）。

（4）编辑文件/etc/pam.d/system-auth，在首行编辑条目如下： auth required pam_tally2.so deny=5 onerr=fail no_magic_root unlock_ time=180 even_deny_root root_unlock_time=180，当用户（含root）连续输错密码5次时，锁定180秒。

任务实施二、访问控制

配置用户的角色，授予用户所需的最小权限，启用访问控制功能，控制用户对资源的访问。

1．删除或停用多余的、过期的账户

Linux是多用户操作系统，存在很多种不一样的角色系统账号，若是部分用户或用户组不需要时，应当立即删除或锁定他们，否则黑客很有可能利用这些账号对服务器实施攻击。具体保留哪些账号，可以依据服务器的用途来决定。在确认某些账户可以锁定的情况下，可以使用passwd -l [user]锁定，并通过 passwd -u [user]解某某 内容过长，仅展示头部和尾部部分文字预览，全文请查看图片预览。 时间：TMOUT=600，export TMOUT，全局 600 秒超时。

（3）利用top命令，查看当前资源利用率。

（4）查看文件/etc/security/limits.conf，根据实际要求设置资源限制。

任务总结本任务参照等级保护主机安全第三级的要求，通过修改CentOS Linux操作系统的默认配置，启用相关安全选项，禁用不必要服务，增加外界安全设备等措施，实现安全加固，提高操作系统安全性，为上层应用安全和数据安全提供基础保障。

任务练习见书P182-183THANK YOU电子工业出版社[文章尾部最后300字内容到此结束,中间部分内容请查看底下的图片预览]

以上为《3-1-2 基于等保思想实现Linux系统安全防护课件》的无排版文字预览，完整格式请下载

下载前请仔细阅读上面文字预览以及下方图片预览。图片预览是什么样的，下载的文档就是什么样的。