服务器等保三级整改配置清单：零基础也能照做的完整步骤

为什么你需要这份清单？

服务器等保三级整改是很多企业和个人建站绕不开的环节。
如果你刚接手一台服务器，或者正在为“整改不通过”头疼，那么这份服务器等保三级整改配置清单就是为你准备的——它不讲理论，只列步骤，你照着操作就能让服务器满足等保三级的大部分基本要求。

准备工作：先确认环境

在动手之前，请确认以下三项：

• 服务器系统：本文以 CentOS 7/8、Ubuntu 20.04+ 为例，宝塔面板用户也适用。
• 权限：需要 root 或具有 sudo 权限的用户。
• 备份：修改关键配置前，建议先备份 /etc/ssh/sshd_config、/etc/pam.d/ 等文件。

cp /etc/ssh/sshd_config /etc/ssh/sshd_config.bak

如果你用的是宝塔面板，可以直接在“文件”模块里备份，也可以使用终端。

核心整改步骤：七个必做项

1. 账户与密码策略加固

等保三级要求密码复杂度高、定期更换、限制登录失败次数。

设置密码复杂度（至少8位，含大小写+数字+特殊字符）

# 修改 /etc/pam.d/common-password 或 /etc/pam.d/system-auth
# 添加或修改行：
password requisite pam_pwquality.so try_first_pass retry=3 minlen=8 ucredit=-1 lcredit=-1 dcredit=-1 ocredit=-1

如果找不到文件，直接安装 libpwquality 库：

yum install -y libpwquality   # CentOS
apt install -y libpam-pwquality   # Ubuntu

限制登录失败次数（连续5次失败锁定15分钟）

# 编辑 /etc/pam.d/sshd，在 auth 开始处添加：
auth required pam_tally2.so deny=5 unlock_time=900 onerr=fail

然后重启 sshd：systemctl restart sshd

2. 禁用 root 直接登录

等保三级要求限制超级管理员远程登录。
创建普通用户并赋予 sudo 权限：

useradd admin
passwd admin
usermod -aG wheel admin   # CentOS 或 Ubuntu 用 sudo group

修改 /etc/ssh/sshd_config：

PermitRootLogin no

重启 sshd 生效。

3. 设置空闲超时自动退出

防止后台被他人误用：

# /etc/ssh/sshd_config 中添加：
ClientAliveInterval 300
ClientAliveCountMax 2

表示5分钟无操作后断开连接。

4. 日志审计未记录？开启吧

确保 rsyslog 和 auditd 运行：

systemctl enable rsyslog && systemctl start rsyslog
systemctl enable auditd && systemctl start auditd

检查日志大小和轮转：编辑 /etc/logrotate.conf，确保 /var/log/secure 或 /var/log/auth.log 被正确轮转。

5. 最小化服务与端口

禁用不需要的服务，例如 telnet、ftp：

systemctl disable telnet.socket vsftpd

限制 SSH 端口（建议改为非标准端口如 2222）：

# /etc/ssh/sshd_config
Port 2222

注意防火墙放行新端口后再重启 sshd。

6. 时间同步与防篡改

等保三级要求系统时间准确且可审计：

yum install -y chrony   # 或 ntp
timedatectl set-ntp true
chronyc sources

7. 开启 SELinux 或 AppArmor

# CentOS 检查状态
sestatus
# 如果显示 disabled，修改 /etc/selinux/config 为 enforcing，重启

Ubuntu 用户可安装 apparmor-utils 并确保 aa-status 显示正常。

避坑指南：这五个错误最容易犯

• 改完 sshd 配置后没重启：记得执行 systemctl restart sshd，否则不生效。
• 密码策略太激进：如果使用特殊字符组合，建议先测试 passwd 命令能否正常修改密码，否则自己也被锁在外面。
• 修改 SSH 端口后忘记放行新端口：务必先在防火墙上放行新端口（firewall-cmd --add-port=2222/tcp --permanent && firewall-cmd --reload），再重启 sshd，否则你连不上。
• 日志不发送到远程：等保三级通常要求集中日志，如果需要配置远程日志服务器，修改 /etc/rsyslog.conf 加入 *.* @日志服务器IP:514。
• SELinux 直接关闭：不要为了方便直接设置为 disabled，建议改为 enforcing 并逐步调整策略。

验证方法：怎么确认整改通过？

检查 SSH 配置是否生效

sshd -T | grep -E "(permitrootlogin|port|clientalive)"
# 结果应显示 permitrootlogin no、port 2222、clientaliveinterval 300 等

测试密码复杂度

创建一个测试用户，尝试设置简单密码（如 123456），应该报错。

检查失败锁定

故意输错5次密码，然后使用正确密码登录，应该被拒绝。
使用 pam_tally2 -u root 查看失败计数器。

检查审计日志

aureport --login   # 查看登录审计记录
ausearch -m USER_LOGIN -ts today   # 查看今日登录事件

日志应包含用户、时间、源IP。

---

如果你正在处理服务器等保三级整改配置清单，建议先按本文步骤完整执行，再根据自己的环境做微调；
遇到异常时优先回看避坑和高频问题部分。
只要逐项落实，你的服务器就能顺利通过等保三级的基本项验收。