今天汇总一下常用的安全基线配置，加强你们企业主机安全防护

1、root账户远程登录限制

如果配置这个，至少需要有一个可登录的普通用户

vi /etc/ssh/sshd_config将PermitRootLogin yes改为PermitRootLogin nosystemctl restart sshd

2、设置口令生存周期

最大口令过期时间设置为小于或等于90天；

# 修改前备份cp /etc/login.defs /etc/login.defs.bak# 修改配置vim /etc/login.defs# 修改下面的内容PASS_MAX_DAYS  90  # 密码最大过期时间，不大于90则合规PASS_MIN_DAYS  7   # 口令更改最小间隔天数应大于等于7PASS_WARN_AGE  7   # 口令过期警告提前天数

3、设置密码复杂度策略

一般需要包括数字大小写，八位以上

# 修改前备份cp /etc/pam.d/system-auth /etc/pam.d/system-auth.bak# 修改配置vim /etc/pam.d/system-auth# 没有则新增password    requisite     pam_cracklib.so try_first_pass retry=3 minlen=8 dcredit=-1 ucredit=-1 ocredit=-1 lcredit=-1 

配置参数说明：# 配置说明retry= 3       # 在返回失败前允许3次尝试。minlen = 8    # 密码必须是8个字符或更多dcredit = - 1  # 提供至少1位数字ucredit = - 1  # 提供至少一个大写字符ocredit = - 1  # 提供至少一个特殊字符lcredit = - 1  # 提供至少一个小写字符

4、配置账户认证失败次数限制

vim /etc/pam.d/system-auth# 增加如下内容：输入错误5次，锁定180sauth        required      pam_tally2.so deny=5 onerr=fail no_magic_root unlock_time=180 account     required      pam_tally2.so

5、禁止wheel组之外的用户su为root

只允许wheel组的用户才能su为root则合规，禁止任何人切换root；

# 修改前备份cp /etc/pam.d/su /etc/pam.d/su_bakvim /etc/pam.d/su# 添加auth            sufficient      pam_rootok.soauth            required        pam_wheel.so use_uid# 将允许su的用户加入wheel组usermod -G wheel $username

6、历史命令设置

保证bash shell保存少量的（或不保存）命令，保存较少的命令条数，减少安全隐患，并设置时间戳；

vim /etc/profile# 修改下面配置，没有则新增# 设置历史命令时间戳export HISTTIMEFORMAT="%F %T "# HISTFILESIZE=5HISTSIZE=50  # 保留历史命令条数，默认是1000条

7、重要文件权限配置

chmod 644 /etc/passwdchmod 644 /etc/groupchmod 400 /etc/shadowchmod 400 /etc/gshadow

8、日志审计

确保rsyslog服务已启用，记录日志用于审计

systemctl enable rsyslogsystemctl start rsyslog

安全基线配置有很多，不同的等保级别要求的基线不一样。以上都是比较常用的基线配置，在企业中，还需要根据安全部门提供的比较详细的基线来配置。

【温馨提示】做安全基线时已经要做好文件的备份，如果条件允许，先在测试环境上操作，避免修改后无法登录系统。