【案例实战】系统信息安全与管理

以上是本次实战的任务描述和要求，下面我将分析本次实战的操作过程，这是整个实战内容的第3部分，其他2部分后面会进行分享，希望对大家有一定的帮助。

一、系统登录加固（需 root 权限执行）

1. SSH 服务加固（限制失败认证次数）

SSH 服务的核心配置文件为/etc/ssh/sshd_config，需调整参数限制失败登录次数。

修改配置文件：

在文件中添加或修改以下参数（确保无重复配置）：

验证配置有效性：

重启 SSH 服务使配置生效：

• 验证效果： 使用另一终端尝试 SSH 登录，故意输入错误密码，第 3 次失败后应被拒绝连接（提示 “Too many authentication failures”）。

2. 终端超时配置（180 秒自动登出）

通过配置 shell 环境变量TMOUT实现终端超时自动登出，适用于所有用户。

配置全局超时参数：

在文件末尾添加：

使配置立即生效：

• 验证效果： 保持终端闲置 3 分钟，会自动退出登录（提示 “timed out waiting for input: auto-logout”）。

3. 客户端存活性检测（每分钟检查 3 次终端超时配置）

通过定时任务周期性检查TMOUT配置是否生效，确保终端超时策略未被篡改。

创建检查脚本：

脚本内容：

• 添加执行权限：

配置定时任务（每分钟执行 3 次）： 由于 crontab 最小粒度为 1 分钟，需通过循环脚本实现 20 秒间隔检查：

添加以下内容

* * * * * root /usr/local/bin/check_tmout.sh; 和下图结合看

（解释：每分钟执行一次，每次执行脚本后休眠 20 秒，再执行，共 3 次，实现 “每分钟检查 3 次”）

验证定时任务：

二、系统审计管理（基于 auditd 服务）

1. 安装并启动 auditd 服务

openEuler 默认可能已安装 auditd，若未安装需先安装：

2. 配置审计日志使用主机完全合格域名（FQDN）

• 确保主机 FQDN 已正确配置：

配置 auditd 记录 FQDN： auditd 日志默认包含主机名，若需明确指定，修改 auditd 配置：

确保以下参数（默认已包含主机名信息）：

重启 auditd 服务使配置生效：

3. 添加审计规则（监控目标文件和命令）

审计规则需添加到/etc/audit/rules.d/audit.rules文件，涵盖指定文件的改动和命令的使用。

添加以下规则（每行对应一个审计目标）：

规则说明：

• -w /path：监控指定文件 / 目录
• -p wa：监控 “写操作（w）” 和 “属性修改（a）”
• -k key：添加标签（key），便于日志过滤
• -a exit,always：监控程序退出事件
• -F path=/path：指定命令的二进制文件路径
• -F perm=x：监控执行（x）操作

4. 加载审计规则并验证

• 加载规则：

验证规则是否生效：

查看审计日志（验证效果）： 审计日志默认存储在/var/log/audit/audit.log，可通过ausearch工具过滤：

测试方法：执行rm test.txt（创建 test.txt 后删除），或修改/etc/hosts，然后查看审计日志是否有相应记录。

三、整体验证与总结

1. SSH 加固验证通过另一终端尝试 SSH 登录，输入错误密码 3 次，确认被拒绝。
2. 终端超时验证闲置终端 3 分钟，确认自动登出。
3. 存活性检测验证故意修改/etc/profile中的 TMOUT 值，20 秒内查看/var/log/tmout_check.log，确认日志记录异常并自动修复。
4. 审计规则验证修改/etc/hosts或执行reboot（需谨慎，建议测试环境），通过ausearch确认日志记录完整。 通过以上配置，openEuler 操作系统的登录安全性和审计能力 将显著提升，满足任务要求。 以上就是本次实战第四部分的所有内容，那么其他2部分实战内容是什么，我这里给大家公布下： 1、适配环境搭建 包括了实战环境说明、系统安装与配置、DNS配置、CA配置、https配置、mysql服务配置、WordPress站点搭建、NFS服务配置、 2、应用系统迁移 包括了数据库配置与管理、数据库适配迁移