等保优化，服务器优化。

服务器优化

// 安装PAM（Pluggable Authentication Modules 插件式认证模块）的cracklib模块
$ apt-get install -y libpam-cracklib
// 打开 配置文件
$ vim /etc/pam.d/common-password
// 修改为
minlen=10 minclass=3 enforce_for_root dcredit=-1 lcredit=-1 ucredit=-1 ocredit=-1
// 将用户口令有效期改为90天
$ vim /etc/login.defs
// 修改为
PASS_MAX_DAYS   180
// 已经创建的用户修改
$ chage -M 90 用户名
// 登录次数限制
$ vim /etc/pam.d/common-auth
$ vim /etc/pam.d/login
// 在第一行添加并注释 pam_tally.so 行
auth        required      pam_faillock.so deny=3 even_deny_root unlock_time=300
#  pam_tally.so   那一行注释掉 
// 空闲超时自动退出
$ vim /etc/profile
// 最后一行添加
TMOUT=300
// 运行
$ source /etc/profile
// 三权分立
// 系统管理员账户
$ useradd sysadmin
$ passwd sysadmin
// 审计管理员账户
$ useradd audadmin
$ passwd audadmin
// 安全管理员账户
$ useradd secadmin
$ passwd secadmin
^1Mqss^R7%2G
// 安装audit审计服务
$ apt-get install -y auditd
// 编辑配置文件
$ vim /etc/audit/rules.d/audit.rules
-w /etc/passwd -p rwxa
-w /etc/profile -p rwxa
-w /etc/sysctl.conf -p rwxa
-w /etc/crontab -p rwxa
// 重启auditd服务
$ service auditd restart
// 发送日志到堡垒机
$ vim /etc/rsyslog.conf
# 等保配置
*.*		@172.28.95.161
// 重启服务
$ sudo systemctl restart rsyslog
// 添加数据库审计
// 上传文件packetbeat和packetbeat.yml到/opt/dbaudit/目录下
// 设置权限
$ chmod 777 /opt/dbaudit/packetbeat.yml
$ chmod 755 /opt/dbaudit/packetbeat
$ cd /opt/dbaudit/
$ chmod go-w packetbeat ./packetbeat.yml
// 运行
$ ./packetbeat run
// 退出
$ ctrl+z
// 修改日志保存6个月
$ vim /etc/logrotate.conf
rotate 26
$ vim /etc/logrotate.d/wtmp
rotate 6
// 禁止root登录
$ vim /etc/ssh/sshd_config
PermitRootLogin no
$ service sshd restart

最后在Confluence 页面上修改基本URL，修改路径：设置->一般配置->站点配置->服务器主页URL 修改为：http://wiki.ant-lord.com 就可以了。