服务器安全加固_Linux配置账户锁定策略

使用下面命令，查看系统是否含有pam_tally2so模块，如果没有就需要使用pam_tallyso模块，两个模块的使用方法不太一样，需要区分开来。

编辑系统/etc/pamd/system-auth 文件，一定要在pam_envso后面添加如下策略参数：

上面只是限制了从终端su登陆，如果想限制ssh远程的话，要改的是/etc/pamd/sshd这个文件，添加的内容跟上面一样！

编辑系统/etc/pamd/sshd文件，注意添加地点在#%PAM-10下一行，即第二行添加内容

ssh锁定用户后查看：

编辑系统 /etc/pamd/login 文件，注意添加地点在#%PAM-10的下面,即第二行，添加内容

tty登录锁定后查看：

编辑 /etc/pamd/remote文件，注意添加地点在pam_envso后面,参数和ssh一致

基本概述

SSR(Server Security Reinforcement）是浪潮具有自主知识产权的“操作系统安全增强系统”，产品中采用了多种先进的公开及未公开的技术。SSR是构建国家三级安全操作系统的内核模块技术的解决方案产品，可以实时的把普通的服务器操作系统从体系上升级，具有三级的安全技术功能，从根本上免疫现有的各种针对操作系统的攻击行为，如：病毒，蠕虫，黑客攻击等。

SSR代表了浪潮专业的技术理念，浪潮致力于研究针对服务器领域的可信解决方案，帮助企业/政府的各种应用服务器解决安全问题。

浪潮SSR ( 操作系统安全增强系统 )是基于先进的ROST(Reinforcement Operating System Technique)技术理论从系统底层对操作系统进行加固的安全解决方案。其主要原理是通过对文件、目录、进程、注册表和服务的强制访问控制，有效的制约和分散了原有系统管理员的权限，综合了对文件和服务的完整性检测、和防缓冲区溢出等功能，能够把普通的操作系统从体系上升级，使其符合国家信息安全等级保护服务器操作系统安全的三级标准。此产品是完全独立自主开发，具有自主知识产权的专门针对系统层安全防护的安全产品。

此产品完全不同于防火墙、IDS等作用在网络层的安全产品，是作用在系统层对网络核心的服务器操作系统进行安全加固，保护了系统中重要数据和应用的安全，从根本上免疫了各种针对操作系统的攻击行为，彻底防止了病毒、蠕虫、黑客攻击等对操作系统和数据库的破坏，浪潮信息安全也因为这一独道的服务器操作系统安全解决方案填补了国内此类产品的空白，被誉为“服务器安全专家”。

浪潮SSR 的模块组成、各模块功能和特性：

文件完整性保护机制：

允许针对进程或用户对文件/目录进行访问规则的设置。

注册表防篡改保护机制：

允许针对进程对注册表项进行访问规则的设置。

进程强制访问保护机制：

允许针对进程对进程进行访问规则的设置。

服务强制访问机制：

阻止新增的服务及驱动在系统中的加载，阻止已安装服务的启动类型的更改。

防止格式化保护机制：

防止用户意外或者其他非法用户的格式化硬盘操作。

文件完整性检测机制：

通过记录和对比指定目录中所有文件的基本属性及内容校验和来进行完整性检测。

全面性的服务检测机制：

通过记录和对比系统中所有服务的基本属性及内容校验和来进行完整性检测。

网络安全访问保护机制：

允许对网络进行强制访问控制。

主动的防御机制：

自动防御缓冲区溢出攻击。

专属用户密码身份认证机制：

使用USB-KEY硬件或PKI/CA机制认证安全管理员的身份

超前一步的软件自我保护功能

注：以上内容由浪潮信息安全事业部提供