Linux等保测评需要用到的命令

三权设置 
查看账户情况
cd /home/
ll
设置审计账户
useradd shenji
passwd shenji

修改密码 passwd+新密码

设置管理账户
useradd guanli 
passwd guanli 

compgen -u 查看用户

切换到root账户
su root

设置审计用户权限

vim /etc/sudoers

shenji ALL = (root) NOPASSWD: /usr/bin/cat , /usr/bin/less , /usr/bin/more , /usr/bin/tail , /usr/bin/head

查看审计账户权限
sudo tail /var/log/messages

（查看命令cat /etc/pam.d/login）
设置锁定账户次数、时间
vim /etc/pam.d/login
在#%PAM-1.0 下新起一行，加入
auth required pam_tally2.so deny=3 unlock_time=5 even_deny_root root_unlock_time=10

登录失败锁定策略
（cat /etc/pam.d/system-auth）
设置方式vi  /etc/pam.d/system-auth
auth required pam_tally2.so onerr=fail deny=3 unlock_time=300 even_deny_root root_unlock_time=300

（查看命令 more /etc/pam.d/system-auth）
设置密码复杂度8位以上
查看more /etc/pam.d/system-auth
修改system-auth文件 vi /etc/pam.d/system-auth
在system-auth文件中 pam_pwquality.so后添加minlen=8 dcredit=-2 ucredit=-1 lcredit=-1 ocredit=-1

（查看命 more /etc/profile.d/autologout.sh）
无操作自动登出
创建一个名为 autologout.sh 的新文件
vi /etc/profile.d/autologout.sh
TMOUT=600
Readonly TMOUT
export TMOUT

执行
chmod +x /etc/profile.d/autologout.sh

查看SElinux开启情况
/usr/sbin/sestatus -v  enabled

开启SElinxu    vi /etc/selinux/config命令

permissive

审计情况查看
service auditd status
开启auditd服务
service auditd start
enabled是否为1，1为开启，0为关闭
开启了auditd服务后，所有的审计日志会记录在/var/log/audit/audit.log
配置规则可以通过命令行(临时生效)或者编辑配置文件(永久生效)两种方式来实现。

编辑配置文件(永久生效)：

auditd的配置文件为/etc/audit/audit下的auditd.conf 和audit.rules

auditd.conf 主要是定义了auditd服务日志和性能等相关配置，

audit.rules才是定义规则的文件，

修改完后重启服务

service auditd restart

防火墙
启动： systemctl start firewalld
关闭： systemctl stop firewalld
查看状态： systemctl status firewalld