# kylin_server_secplus

**Repository Path**: timstrong/kylin_server_secplus

## Basic Information

- **Project Name**: kylin_server_secplus
- **Description**: 银河麒麟服务器安全加固
- **Primary Language**: Shell
- **License**: MulanPSL-2.0
- **Default Branch**: master
- **Homepage**: None
- **GVP Project**: No

## Statistics

- **Stars**: 1
- **Forks**: 1
- **Created**: 2022-07-18
- **Last Updated**: 2023-02-28

## Categories & Tags

**Categories**: Uncategorized

**Tags**: None

## README

# 银河麒麟服务器操作系统安全加固脚本

`kylin_jiagu.sh`以`Kylin-Server-10-SP2-x86-Release-Build09-20210524.iso`为基准，进行安全加固

## 设置未来新账户的密码有效期

- 打开`/etc/login.defs`配置文件,修改配置参数

| 参数 | 配置参考值 | 含义 |
| :---: | :---: | :---: |
| PASS_MAX_DAYS | 90 | 密码最长有效期 |
| PASS_MIN_DAYS | 7  | 密码最短有效期 |
| PASS_MIN_LEN  | 8  | 密码长度最小值 |
| PASS_WARN_AGE | 7  | 密码过期前警告天数 |

## 设置账户口令复杂度

- 打开`/etc/security/pwquality.conf`配置文件，修改配置参数

| 参数 | 配置参考值 | 含义 |
| :---: | :---: | :---: |  
| minlen |  8 | 密码最小长度 |
| dcreadit | -1 | 密码中最少包含数字的个数 |
| ucreadit | -1 | 密码中最少包含大写字母的个数 |
| lcreadit | -1 | 密码中最少包含小写字母的个数 |
| ocreadit | -1 | 密码中最少包含特殊字符的个数 |
| maxrepeat | 3 | 密码中相同字符出现最多的次数 |
| difok | 3 | 设置密码连续相同的字符最多的个数 |

## 设置账户登录失败锁定

防止系统遭受恶意暴力破解

- 打开`/etc/pam.d/system-auth`配置文件，修改配置参数
- 修改例子：
```bash
auth required pam_faillock.so preauth autit deny=3 even_deny_root unlock_time=180
```

| 参数 | 配置参考值 | 含义 |
| :---: | :---: | :---: |
| deny | 5 | 为登陆失败尝试次数 |
| even_deny_root |  | 为root账户登陆达到失败次数也会锁定 |
| unlock_time | 180 | 为锁定时长，以秒为单位 |

## 开启 Kysec

Kysec 可以有效地保护系统，提供了防篡改、软件源安全认证、内核保护等安全管控机制，启动Kysec可以有效保护系统安全。

```bash
security-switch --set default # 开启kysec的执行控制与文件保护功能
```