Linux安全配置
1、关闭多余用户：
IP、news、uucp、games、mail与其他自定义的没有使用的用户（groupdel userdel）
更改一些用户的shell,不需要登录的改成:/bin/nologin
2、设置密码过期策略：
Vi /etc/login.defs #过期时间90天
PASS_MAX_DAYS=90
3、超时自动注销登录：
Vi /etc/profile ##600秒注销
TMOUT=600
export TMOUT
4、设置history的历史时间格式：
Vi /etc/profile
HISTTIMEFORMAT=”%Y-%M%D %H:%m:%s”
export HISTTIMEFORMAT
chmod 600 /用户主目录/.bash_history
5、禁止空口令账号登录系统：
Vi /etc/pam.d/system-auth #增加
auth sufficient /lib/security/pam_unix_so likeauth nullok
6、密码复杂度设置:
Vi /etc/pam.d/login #新旧密码必须5个不同字符，一个数字，一次失败后返回错误信息
password required pam_cracklib.so difok=5 dcredit=-1 retry=1
7、默认密码长度限制：
Vi /etc/login.defs
PASS_MIN_LEN 8
8、SSH安全配置：
Vi /etc/ssh/sshd_config
Procotol 2
PermitRootLogin no
PubkeyAuthentication yes
PasswordAuthentication no
GSSAPIAuthentication no
9、对SSH、SU登录日志进行记录：
Vi /etc/syslog.conf
Authpriv.* /var/log/secure
/etc/rc.d/init.d/syslog restart
10、开启审计功能：
Service auditd start

日志/var/log/audit/audit.log

window安全配置
1、定期更换密码，避免重复使用旧的密码：
域安全策略--安全设置--账号策略--密码策略--密码最长使用期限/强制密码历史
2、首次登录更改默认密码：
用户账号属性--勾选下次登录必须更改密码
3、系统不允许账号和密码一致/密码由数字和字母组成：
域安全策略--安全设置--账号策略--密码策略--密码必须符合安全性要求
4、强制用户使用优质密码：
域安全策略--安全设置--账号策略--密码策略--密码长度最小值
5、用户单次登录不活动注销：
屏保设置15分钟
gpedit.msc 组策略编辑器--计算机配置策略--管理模板--Windows 组件--终端服务--会话--为断开的会话设置时间
6、用户无效登录的最大尝试次数为6：
域安全策略--安全设置--账号策略--账号锁定策略--账号锁定阈值
7、开启审计日志：
域安全策略--本地策略--审核策略--审计功能
8、建议添加的审计规则：
登录失败 账号登录事件/登录事件
ID修改密码修改 账号管理
文件删除 对象访问
无效的逻辑访问尝试 目录服务访问
创建和删除系统级对象 对象访问/策略更改/系统事件
9、删除所有不需要的账号