linux系统安全更新失败,linux系统安全整改

1.备份 /etc 文件夹 和 /home等目录

mkdir /backup

tar -cPpf /backup/etc20170526.bak.tar /etc

还原 tart

tar ——overwrite -xpf /backup/home.bak.tar -C /

2.修改用户名密码

http://jingyan.baidu.com/article/9989c7463a3f22f649ecfe6c.html

whoami

passwd

3.修改用户过期策略

http://blog.csdn.net/xiegh2014/article/details/52595695

vi /etc/login.defs

针对新用户

PASS_MAX_DAYS   90

PASS_MIN_DAYS   0

PASS_MIN_LEN    9

PASS_WARN_AGE   15

chage -M 90 root

chage -W 15 root

chage -l root

4.登录失败锁定处理

http://www.landui.com/help/show-2789.html

vim /etc/pam.d/login

在#%PAM-1.0下面添加&＃xff1a;

auth required pam_tally2.so deny&＃61;5 unlock_time&＃61;180 #登录失败5次锁定180秒&＃xff0c;不包含root

auth required pam_tally2.so deny&＃61;5 unlock_time&＃61;1800 even_deny_root root_unlock_time&＃61;1800 #包含root

5.修改root用户名

root2017

http://www.xker.com/page/e2017/0131/262022.html

参考&＃xff1a;http://blog.csdn.net/a1154490629/article/details/52190801

/etc/passwd中一行记录对应着一个用户&＃xff0c;每行记录又被冒号(:)分隔为7个字段&＃xff0c;其格式和具体含义如下&＃xff1a;

用户名:口令:用户标识号:组标识号:注释性描述:主目录:登录Shell

vi /etc/passwd

修改第1行第1个root为新的用户名

按esc键退出编辑状态&＃xff0c;并输入:x保存并退出

vi /etc/shadow

修改第1行第1个root为新的用户名

按esc键退出编辑状态&＃xff0c;并输入:x!强制保存并退出

为了正常使用sudo&＃xff0c;需要修改/etc/sudoers的设置&＃xff0c;修改方法如下(来自How to add users to /etc/sudoers)&＃xff1a;

运行visudo

找到root ALL&＃61;(ALL) ALL

在下面添加一行&＃xff1a;新用户名 ALL&＃61;(ALL) ALL

:x保存退出

6.开启审计进程auditd

vim /etc/audit/auditd.conf

max_log_file&＃61;50

max_log_file_action&＃61;KEEP_LOGS

service auditd start

http://blog.chinaunix.net/uid-17238776-id-4904716.html

7.定期备份 /var/log/audit/ 下的日志

两个月移动一下文件夹内所有东西

crontab -e

00 01 01 */2 * /bin/bash /backup/bakaudit.sh

mkdir /backup/audit

touch bakaudit.sh 文件夹只所有文件移动到另外一个文件夹中 #!/bin/sh tempdir&＃61;audit&＃96;date &＃43;%Y-%m-%d_%H%M%S&＃96; mkdir /backup/audit/$tempdir mv /var/log/audit/* /backup/audit/$tempdir /sbin/service auditd restart 移动完以后要重新启动auditd&＃xff0c;否则后面日志好像不生成了 chmod &＃43;x /backup/bakaudit.sh 8.自动更新补丁 https://linux.cn/article-8015-1.html?utm_source&＃61;weixin https://www.androiddev.net/centos-auto-update/ 9.设置ssh连接超时时间  (以秒为单位)  echo export TMOUT&＃61;600 >> /root/.bash_profile   cat /root/.bash_profile source .bash_profile cp /etc/ssh/sshd_config /etc/ssh/sshd_config_bak echo ClientAliveInterval&＃61;60 >> /etc/ssh/sshd_config service sshd restart cat /etc/ssh/sshd_config service sshd restart exit http://bristol.blog.51cto.com/1004110/1567390 10.装杀毒软件 Clamav http://115.com/1000018516/T1232213.html http://www.iyunv.com/thread-237251-1-1.html Linux ~]# tar [-cxtzjvfpPN] 文件与目录 .... 参数&＃xff1a; -c &＃xff1a;建立一个压缩文件的参数指令(create 的意思)&＃xff1b; -x &＃xff1a;解开一个压缩文件的参数指令&＃xff01; -t &＃xff1a;查看 tarfile 里面的文件&＃xff01; 特别注意&＃xff0c;在参数的下达中&＃xff0c; c/x/t 仅能存在一个&＃xff01;不可同时存在&＃xff01; 因为不可能同时压缩与解压缩。 -z &＃xff1a;是否同时具有 gzip 的属性&＃xff1f;亦即是否需要用 gzip 压缩&＃xff1f; -j &＃xff1a;是否同时具有 bzip2 的属性&＃xff1f;亦即是否需要用 bzip2 压缩&＃xff1f; -v &＃xff1a;压缩的过程中显示文件&＃xff01;这个常用&＃xff0c;但不建议用在背景执行过程&＃xff01; -f &＃xff1a;使用档名&＃xff0c;请留意&＃xff0c;在 f 之后要立即接档名喔&＃xff01;不要再加参数&＃xff01; 　　　例如使用『 tar -zcvfP tfile sfile』就是错误的写法&＃xff0c;要写成 　　　『 tar -zcvPf tfile sfile』才对喔&＃xff01; -p &＃xff1a;使用原文件的原来属性(属性不会依据使用者而变) -P &＃xff1a;可以使用绝对路径来压缩&＃xff01; -N &＃xff1a;比后面接的日期(yyyy/mm/dd)还要新的才会被打包进新建的文件中&＃xff01; --exclude FILE&＃xff1a;在压缩的过程中&＃xff0c;不要将 FILE 打包&＃xff01;