银河麒麟V4.0.2安防加固_麒麟操作系统文件加固 方案

1设置密码复杂度，登录失败锁定用户

1.1、设置密码复杂度

编辑/etc/pam.d/common-password文件，在pam_cracklib.so行末增加以下内容

例如：password  requisite  pam_cracklib.so  retry=3 minlen=10 difok=3 dcredit=-1 ucredit=-1 lcredit=-1
说明：1)dcredit针对数字，ucredit针对大写字母，lcredit针对小写字母
          2)负数表示至少的个数，正数表示最多的个数，-1表示至少1位

1.2、登录失败锁定用户

编辑/etc/pam.d/common-auth,增加

auth required   pam_tally2.so   deny=5   unlock_time=180 even_deny_root root_unlock_time=180

这是整体加固，ssh访问也受控制。

说明：even_deny_root 也限制root用户；
deny  设置普通用户和root用户连续错误登陆的最大次数，超过最大次数，则锁定该用户；
unlock_time 设定普通用户锁定后，多少时间后解锁，单位是秒；
root_unlock_time 设定root用户锁定后，多少时间后解锁，单位是秒；

1.3、查看admin用户登录失败次数

sudo pam_tally2 --user admin
1.4、解锁admin用户

sudo pam_tally2 --user admin --reset