• 一、加固策略
  • 1.1、設定複雜密碼
  • 1.2、 設定密碼策略
  • 1.3、 對密碼強度進行設定
  • 1.4、對使用者的登入次數進行限制
  • 1.5、禁止root使用者遠端登入
  • 1.6、 更改ssh埠 （可選）
  • 1.7、關閉沒必要的埠
  • 1.8、設定賬戶儲存歷史命令條數，超時時間

一、加固策略

1.1、設定複雜密碼

伺服器設定大寫、小寫、特殊字元、數字組成的12-16位的複雜密碼 ，也可使用密碼生成器自動生成複雜密碼。

可以參考密碼生成器 生成隨機密碼 - 密碼生成器 (bmcx.com) 給出的密碼。

 echo "root:wgr1TDs2Mnx0XuAv" | chpasswd 

1.2、 設定密碼策略

修改檔案/etc/login.defs新增密碼策略

vim /et/login.defs

#密碼最長有效期
PASS_MAX_DAYS 90 
#密碼修改之間最小的天數
PASS_MIN_DAYS 10 
#密碼長度
PASS_MIN_LEN 8 
#口令失效前多少天開始通知使用者修改密碼
PASS_WARN_AGE 7 

1.3、 對密碼強度進行設定

vim  /etc/pam.d/password-auth 
新增
password requisite pam_pwquality.so try_first_pass local_users_only retry=3 authtok_type= difok=1 minlen=8 ucredit=-1 lcredit=-1 dcredit=-1 
 

• difok= 定義新密碼中必須要有幾個字元和舊密碼不同

• minlen=新密碼的最小長度

• ucredit= 新密碼中可以包含的大寫字母的最大數目。-1 至少一個

• lcredit=新密碼中可以包含的小寫字母的最大數

• dcredit=定新密碼中可以包含的數字的最大數目

  注：這個密碼強度的設定只對"普通使用者"有限制作用，root使用者無論修改自己的密碼還是修改普通使用者的時候，不符合強度設定依然可以設定成功

1.4、對使用者的登入次數進行限制

vim   /etc/pam.d/sshd 
新增
auth required pam_tally2.so deny=3 unlock_time=150 even_deny_root root_unlock_time300
 

設定成功後，多次登入失敗的使用者將被鎖定

 # 檢視被鎖定的使用者 
 pam_tally2
 #將被鎖定的使用者解鎖
 pam_tally2 --reset -u username 

1.5、禁止root使用者遠端登入

vim  /etc/ssh/sshd_config 
修改
# PermitRootLogin no 

1.6、 更改ssh埠 （可選）

vim /etc/ssh/sshd_config ，更改Port或追加Port

注：生效要重啟sshd程序。

1.7、關閉沒必要的埠

伺服器為了應用部署方便都選用了完全安裝，導致很多沒有使用的服務也在啟動狀態。

本環節需要解除安裝伺服器上不必要的服務，禁用多餘的埠。

1.8、設定賬戶儲存歷史命令條數，超時時間

設定成功後，五分鐘沒有指令動作伺服器會超時自動斷開與客戶端的連結。

vim  /etc/profile 
修改
#歷史命令數量方便回溯
HISTSIZE=1000
TMOUT=600