linux系統安全加固
阿新 • • 發佈:2022-03-03
目錄
一、加固策略
1.1、設定複雜密碼
伺服器設定大寫、小寫、特殊字元、數字組成的12-16位的複雜密碼 ,也可使用密碼生成器自動生成複雜密碼。
可以參考密碼生成器 生成隨機密碼 - 密碼生成器 (bmcx.com) 給出的密碼。
echo "root:wgr1TDs2Mnx0XuAv" | chpasswd
1.2、 設定密碼策略
修改檔案/etc/login.defs新增密碼策略
vim /et/login.defs
#密碼最長有效期
PASS_MAX_DAYS 90
#密碼修改之間最小的天數
PASS_MIN_DAYS 10
#密碼長度
PASS_MIN_LEN 8
#口令失效前多少天開始通知使用者修改密碼
PASS_WARN_AGE 7
1.3、 對密碼強度進行設定
vim /etc/pam.d/password-auth 新增 password requisite pam_pwquality.so try_first_pass local_users_only retry=3 authtok_type= difok=1 minlen=8 ucredit=-1 lcredit=-1 dcredit=-1
-
difok= 定義新密碼中必須要有幾個字元和舊密碼不同
-
minlen=新密碼的最小長度
-
ucredit= 新密碼中可以包含的大寫字母的最大數目。-1 至少一個
-
lcredit=新密碼中可以包含的小寫字母的最大數
-
dcredit=定新密碼中可以包含的數字的最大數目
注:這個密碼強度的設定只對"普通使用者"有限制作用,root使用者無論修改自己的密碼還是修改普通使用者的時候,不符合強度設定依然可以設定成功
1.4、對使用者的登入次數進行限制
vim /etc/pam.d/sshd 新增 auth required pam_tally2.so deny=3 unlock_time=150 even_deny_root root_unlock_time300
設定成功後,多次登入失敗的使用者將被鎖定
# 檢視被鎖定的使用者
pam_tally2
#將被鎖定的使用者解鎖
pam_tally2 --reset -u username
1.5、禁止root使用者遠端登入
vim /etc/ssh/sshd_config
修改
# PermitRootLogin no
1.6、 更改ssh埠 (可選)
vim /etc/ssh/sshd_config ,更改Port或追加Port
注:生效要重啟sshd程序。
1.7、關閉沒必要的埠
伺服器為了應用部署方便都選用了完全安裝,導致很多沒有使用的服務也在啟動狀態。
本環節需要解除安裝伺服器上不必要的服務,禁用多餘的埠。
1.8、設定賬戶儲存歷史命令條數,超時時間
設定成功後,五分鐘沒有指令動作伺服器會超時自動斷開與客戶端的連結。
vim /etc/profile
修改
#歷史命令數量方便回溯
HISTSIZE=1000
TMOUT=600
---------------------------------------------------------
恐懼是因為努力的還不夠,加油 ~~---------------------------------------------