安全运维,等保测试常见解决问题。
1. 未配置口令复杂度策略。
# 配置密码安全策略
# vi /etc/pam.d/system-auth
# local_users_only 只允许本机用户。
# retry =3 最多重复尝试3次。
# minlen=12 最小长度为12个字符。
# dcredit=-1 至少需要1个数字字符。
# ucredit=-1 至少需要1个大写字母。
# lcredit=-1 至少需要1个小写字母。
# ocredit=-1 至少需要1个特殊字符。
# difok=7 新口令与旧口令至少有7个字符不同。# enforce_for_root 对root用户也强制执行这些规则。
password requisite pam_pwquality.so try_first_pass local_users_only retry=3 authtok_type= minlen=12 lcredit=-1 ucredit=-1 dcredit=-1 ocredit=-1 enforce_for_root
2. 配置登录失败处理策略及登录连接超时策略。
#vi /etc/pam.d/sshd
auth required pam_faillock.so preauth silent deny=5 unlock_time=900
account required pam_faillock.so#vi /etc/ssh/sshd_config
# 服务器向客户端发送消息的间隔时间(秒),即30分钟。
ClientAliveInterval 1800
# 如果客户端在 ClientAliveInterval 时间内没有响应,服务器将断开连接。
ClientAliveCountMax 0
3. 未严格限制系统默认账户root的访问权限。
# 禁用root账户sshd远程登录
# vi /etc/ssh/sshd_config
PermitRootLogin no
PermitRootLogin yes# 配置sqyr账户可以使用sudo来执行超管权限
# sudo visudo
sqyr ALL=(ALL) ALL
4. 未严格限制终端登录地址范围。
# 配置sshd允许内网ip为[222.19.190.1-222.19.190.255]范围内可访问
# vi /etc/hosts.allow
sshd: 222.19.190.0/24# 配置sshd除了222.19.190.1~255内网ip可访问; 其他都拒绝
# vi /etc/hosts.deny
sshd: ALL
5. 未对及时清除会话信息。
# vi /etc/profile
# set system environment
export HISTSIZE=0
export HISTFILESIZE=0
export HISTFILE=/dev/null
#source /etc/profile
5. MYSQL未配置口令复杂度策略。
# vi /etc/my.cnf
# 设置密码安全相关
# 设置密码策略等级STRONG
validate_password_policy=STRONG
# 设置密码最小长度14
validate_password_length=14
# 设置密码中至少需要大写字母和小写字母的数量
validate_password_mixed_case_count=1
# 设置密码中至少需要数字的数量
validate_password_number_count=1
# 设置密码中至少需要特殊字符的数量
validate_password_special_char_count=1
# 设置密码定期更换周期365天
default_password_lifetime=365
6. MYSQL未配置登录失败处理策略及登录连接超时策略。
# 复制链接控制插件;[插件位置在安装/lib64/mysql/plugin目录]
[root@localhost plugin]# cp /lib64/mysql/plugin/connection_control.so /home/sqyr/local/mysql-5.7.43/install/data/mysql/lib64/mysql/plugin/
# 登录账户
[root@localhost plugin]# mysql -u root -p
# 执行安装插件
install plugin CONNECTION_CONTROL soname 'connection_control.so';
install plugin CONNECTION_CONTROL_FAILED_LOGIN_ATTEMPTS soname 'connection_control.so';
FLUSH PRIVILEGES;
show plugins;
exit;# 编辑mysql配置文件,添加配置参数
[root@localhost plugin]# vi /etc/my.cnf
# 允许帐户进行的连续失败尝试5次
connection-control-failed-connections-threshold=5
# 最小连接延迟[超过失败次数后;等待链接时长为1分钟]
connection-control-min-connection-delay=60000
# 重新启动
[root@localhost plugin]# systemctl restart mysqld
# 登录后直接查看配置信息
show variables like '%connection_control%';
connection_control_failed_connections_threshold 5
connection_control_max_connection_delay 2147483647
connection_control_min_connection_delay 60000
7. MYSQL未严格限制系统默认账户root的访问权限。
[root@localhost ~]# mysql -u root -p
#收回root用户远程登录权限
REVOKE ALL PRIVILEGES, GRANT OPTION FROM 'root'@'%';
#只允许访问用户数据库ubox
GRANT ALL PRIVILEGES ON ubox.* TO 'root'@'%';
FLUSH PRIVILEGES;
8. MYSQL未开启日志功能,未对重要的用户行为和重要安全事件进行审计。
# 控制binlog日志文件保留时间,超过时间会删除
expire_logs_days=7
# 配置日志格式
log_timestamps=system
# 一般有两种形式,FILE和TABLE,默认FILE; TABLE时mysql库的slow_log表中
log_output=FILE,TABLE# 开启慢日志查询
slow_query_log=ON
# 配置慢日志询阈值为3秒
long_query_time=3
# 配置慢日志文件
slow_query_log_file=/home/sqyr/local/mysql-5.7.43/install/data/mysql/data/mysql-slow.log# 开启审计日志
general_log=ON
# 配置审计日志文件
general_log_file=/home/sqyr/local/mysql-5.7.43/install/data/mysql/data/mysql-general.log
# 配置错误日志文件
log-error=/home/sqyr/local/mysql-5.7.43/install/data/mysql/mysql-error.log
相关文章:
安全运维,等保测试常见解决问题。
1. 未配置口令复杂度策略。 # 配置密码安全策略 # vi /etc/pam.d/system-auth # local_users_only 只允许本机用户。 # retry 3 最多重复尝试3次。 # minlen12 最小长度为12个字符。 # dcredit-1 至少需要1个数字字符。 # ucredit-1 至少需要1个大…...
jmeter接口测试(二)
一、不同参数类型的接口测试 二、动态参数接口处理 随机数 工具——>函数助手对话框(Random 1000-10000之间的随机数 变量名为rdn)如下图所示 把上图生成的函数字符串复制到想要使用的地方如下图 三、断言 1、状态断言,200 不能证明…...
Keil ARM Complier Missing Compiler Version 5
使用Keil软件时出现了编译时报错,找不到对应的ARM版本,报错Target Target 1 uses ARM-Compiler Default Compiler Version 5 which is not available. *** Please review the installed ARM Compiler Versions: Manage Project Items - Folders/Extensions to manage ARM Compi…...
【僵尸进程】
【僵尸进程】 目录:知识点1. 僵尸进程的定义2. 僵尸进程产生的原因3. 僵尸进程的危害4. 如何避免僵尸进程 代码示例产生僵尸进程的代码示例避免僵尸进程的代码示例(父进程主动回收)避免僵尸进程的代码示例(信号处理) 运…...
【框架】参考 Spring Security 安全框架设计出,轻量化高可扩展的身份认证与授权架构
关键字:AOP、JWT、自定义注解、责任链模式 一、Spring Security Spring Security 想必大家并不陌生,是 Spring 家族里的一个安全框架,特别完善,但学习成本比较大,不少开发者都觉得,这个框架“很重” 他的…...
【Git 学习笔记_27】DIY 实战篇:利用 DeepSeek 实现 GitHub 的 GPG 密钥创建与配置
文章目录 1 前言2 准备工作3 具体配置过程3.1. 本地生成 GPG 密钥3.2. 导出 GPG 密钥3.3. 将密钥配置到 Git 中3.4. 测试提交 4 问题排查记录5 小结与复盘 1 前言 昨天在更新我的第二个 Vim 专栏《Mastering Vim (2nd Ed.)》时遇到一个经典的 Git 操作问题:如何在 …...
微信小程序地图map全方位解析
微信小程序地图map全方位解析 微信小程序的 <map> 组件是一个功能强大的工具,可以实现地图展示、定位、标注、路径规划等多种功能。以下是全方位解析微信小程序地图组件的知识点: 一、地图组件基础 1. 引入 <map> 组件 在页面的 .wxml 文…...
调试无痛入手
在调试过程中,Step In、Step Over 和 Step Out 是控制代码执行流程的常用操作,帮助开发者逐行或逐块检查代码行为。以下是它们的详细介绍及使用方法: 1. Step In 功能:进入当前行的函数或方法内部,逐行执行其代码。使…...
【蓝桥杯集训·每日一题2025】 AcWing 6135. 奶牛体检 python
6135. 奶牛体检 Week 1 2月21日 农夫约翰的 N N N 头奶牛站成一行,奶牛 1 1 1 在队伍的最前面,奶牛 N N N 在队伍的最后面。 农夫约翰的奶牛也有许多不同的品种。 他用从 1 1 1 到 N N N 的整数来表示每一品种。 队伍从前到后第 i i i 头奶牛的…...
AI发展迅速,是否还有学习前端的必要性?
今天有个小伙伴跟我讨论:“现在 AI 发展迅速,是否还有学习 JS 或者 TS 及前端知识的必要?” 我非常肯定地说: 是的,学习 JavaScript/TypeScript 以及前端知识仍然非常必要,而且在可预见的未来,…...
【数据标准】数据标准化是数据治理的基础
导读:数据标准化是数据治理的基石,它通过统一数据格式、编码、命名与语义等,全方位提升数据质量,确保准确性、完整性与一致性,从源头上杜绝错误与冲突。这不仅打破部门及系统间的数据壁垒,极大促进数据共享…...
VS2022配置FFMPEG库基础教程
1 简介 1.1 起源与发展历程 FFmpeg诞生于2000年,由法国工程师Fabrice Bellard主导开发,其名称源自"Fast Forward MPEG",初期定位为多媒体编解码工具。2004年后由Michael Niedermayer接任维护,逐步发展成为包含音视频采…...
three.js之特殊材质效果
*案例42 创建一个透明的立方体 <template><div ref"container" className"container"></div> </template><script setup> import * as THREE from three; import WebGL from three/examples/jsm/capabilities/WebGL.js // 引…...
Qt常用控件之日历QCalendarWidget
日历QCalendarWidget QCalendarWidget 是一个日历控件。 QCalendarWidget属性 属性说明selectDate当前选中日期。minimumDate最小日期。maximumDate最大日期。firstDayOfWeek设置每周的第一天是周几(影响日历的第一列是周几)。gridVisible是否显示日历…...
vxe-table 如何实现跟 Excel 一样的数值或金额的负数自动显示红色字体
vxe-table 如何实现跟 Excel 一样的数值或金额的负数自动显示红色字体,当输入的值为负数时,会自动显示红色字体,对于数值或者金额输入时该功能就非常有用了。 查看官网:https://vxetable.cn gitbub:https://github.co…...
DINOv2 + yolov8 + opencv 检测卡车的可拉拽雨覆是否完全覆盖
最近是接了一个需求咨询图像处理类的,甲方要在卡车过磅的地方装一个摄像头用检测卡车的车斗雨覆是否完全, 让我大致理了下需求并对技术核心做下预研究 开发一套图像处理软件,能够实时监控经过的卡车并判断其车斗的雨覆状态。 系统需具备以下…...
算法日记27:完全背包(DFS->记忆化搜索->倒叙DP->顺序DP->空间优化)
一、暴力搜索(DFS) O ( n 2 ) O(n^2) O(n2) 1.1)思路解析 1、注意和01背包的区别在于每个物品可以无限次选择 注意在完全背包中,当一个物品被选择过一次,我们仍然需要考虑是否继续选择这个物品 01背包: …...
)
Linux 命令大全完整版(14)
5. 文件管理命令 chgrp(change group) 功能说明:变更文件或目录的所属群组。语 法:chgrp [-cfhRv][–help][–version][所属群组][文件或目录…] 或 chgrp [-cfhRv][–help][–version][–reference<参考文件或目录>][文件或目录…]补充说明&…...
基于 DeepSeek LLM 本地知识库搭建开源方案(AnythingLLM、Cherry、Ragflow、Dify)认知
写在前面 博文内容涉及 基于 Deepseek LLM 的本地知识库搭建使用 ollama 部署 Deepseek-R1 LLM知识库能力通过 Ragflow、Dify 、AnythingLLM、Cherry 提供理解不足小伙伴帮忙指正 😃,生活加油 我站在人潮中央,思考这日日重复的生活。我突然想,…...
Could not initialize class io.netty.util.internal.Platfor...
异常信息: Exception in thread "main" java.lang.NoClassDefFoundError: Could not initialize class io.netty.util.internal.PlatformDependent0 Caused by: java.lang.ExceptionInInitializerError: Exception java.lang.reflect.InaccessibleObjec…...
AI 应用的状态管理:比 Redux 复杂 10 倍的挑战
AI 应用的状态管理:比 Redux 复杂 10 倍的挑战 本文是【高级前端的 AI 架构升级之路】系列第 04 篇。 上一篇:AI 网关层设计:多模型路由、降级、限流、成本控制 | 下一篇:AI Streaming 架构:从浏览器到服务端的全链路流…...
HTML函数在系统更新后变卡是硬件老化吗_软硬兼容性排查【方法】
HTML函数变卡主因是渲染层兼容性断层,新版浏览器收紧布局触发规则、强化HTML解析严格性,并引发polyfill冲突,需排查强制同步布局、弃用API及第三方库适配问题。HTML函数变卡不是硬件老化,是渲染层兼容性断层系统更新后 innerHTML、…...
zmq源码分析之管道创建pipepair
文章目录 一、函数签名与参数 参数详解: 二、函数实现逐行解析 **第 1 步:定义底层队列类型** **第 2 步:创建第一个方向的队列** **第 3 步:创建第二个方向的队列** **第 4 步:创建两个管道对象(关键!)** **第 5 步:设置互为对等体** 三、pipe_t 构造函数详解 四、实…...
)
别再用过时预设了!2024年最新VSCO Film 1-7全套预设安装与使用避坑指南(含Camera Profiles缺失机型解决方案)
2024年VSCO Film预设终极指南:解决新机型兼容性与色彩管理难题 当你在2024年打开那套曾经叱咤风云的VSCO Film预设包时,是否发现原本完美的胶片模拟在新款相机上变得面目全非?这不是预设失效了,而是数字影像生态已经发生了翻天覆地…...
RAG检索质量提升秘籍:拆解链路,逐层优化,告别不稳定!
本文深入探讨了RAG检索项目中常见的质量不稳定问题,并提出了一种有效的解决策略。通过将检索链路拆分为Query理解、多路召回、候选融合和重排序与边界控制四个阶段,逐步排查并优化每个环节。文章详细介绍了在每个阶段的具体优化方法,如Query层…...
深入RK3588 DTS:从频率电压表看Rockchip芯片的能效设计思路与调试技巧
深入RK3588 DTS:从频率电压表看Rockchip芯片的能效设计思路与调试技巧 当工程师拿到一块RK3588开发板时,最先关注的往往是性能参数——四核Cortex-A76加四核Cortex-A55的配置,高达2.4GHz的主频,以及强大的NPU算力。但真正决定这颗…...
在Vmware嵌套的CentOS 7里搭KVM:从虚拟化检测到桥接网络避坑全记录
在VMware嵌套的CentOS 7中部署KVM:从虚拟化检测到网络配置实战指南 当我们需要在有限硬件资源下构建复杂的虚拟化测试环境时,嵌套虚拟化技术提供了绝佳的解决方案。本文将带您深入探索如何在VMware Workstation创建的CentOS 7虚拟机中,成功部…...
机制详解)
ARM地址转换与分支记录缓冲区(BRB)机制详解
1. ARM地址转换机制深度解析在ARMv8/ARMv9架构中,地址转换是内存管理单元(MMU)的核心功能,它通过多级页表将虚拟地址(VA)转换为物理地址(PA)。这种转换机制不仅实现了内存隔离和保护,还为虚拟化提供了硬件支持。我们先从最基础的地址转换指令…...
R 4.5低代码分析工具开发最后窗口期:官方确认2025Q2起停用legacy builder API,你还在用R 4.4兼容模式?
第一章:R 4.5低代码分析工具开发的战略窗口期研判R 4.5版本于2024年4月正式发布,其核心演进聚焦于运行时性能优化、原生管道操作符(|> 的语义强化)、S3/S4方法分发加速,以及对 rlang 1.1 和 pillar 1.10 的深度集成…...
)
2026最新|零基础在Windows搭建AI Agent开发环境完整教程(附可运行代码)
2026最新|零基础在Windows搭建AI Agent开发环境完整教程(附可运行代码) 摘要 本文解决开发者在 Windows 环境下入门 AI Agent 开发时常见的环境配置、依赖安装和第一个 Agent 示例跑通问题,适合刚接触智能体开发、自动化任务和多…...