linux服务器安全加固教程交流(如何做好Linux系统安全加固之账号安全)
linux服务器安全加固教程交流(如何做好Linux系统安全加固之账号安全)
2024-11-05 01:15:44  作者:彪悍的内心  网址:https://m.xinb2b.cn/tech/qrd385113.html


由于Linux操作系统是一个开放源代码的免费操作系统,受到越来越多用户的欢迎。对于在线运行的业务,用户最关心的就是系统的安全性,系统运行的安全性直接影响着业务的安全。系统安全设置是一个多维度问题,下面小编就从linux的账号安全的维度和大家分享一些常用的Linux安全加固小技巧。

1.设置密码策略

[root@lkjtest ~]# cat /etc/login.defs |grep -v "#" |grep PASSPASS_MAX_DAYS 180PASS_MIN_DAYS 0PASS_MIN_LEN 5PASS_WARN_AGE 7


参数说明:

PASSMAXDAYS:设置密码的过期日期PASSMINDAYS:密码最小更改日期PASSMINLEN :密码的最小长度PASSWARNAGE :密码到期提前告警的天数2.限制用户远程登陆

vim /etc/pam.d/sshd#%PAM-1.0 auth required pam_tally2.so deny=3 unlock_time=300 even_deny_root root_unlock_time=10


注意点:添加的内容一定要添加在前面,即“#%PAM-1.0” 之后,如果写在后面,虽然用户被锁定,但只要用户名和密码正确,依然是可以成功登陆进去的。

参数说明:

evendenyroot : root用户也限制。deny :设置普通用户和root用户连续错误登陆的最大次数,超过最大次数,则锁定该用户.unlock_time :普通用户锁定后,多长时间后解锁,单位是秒。rootunlocktime :root用户锁定后,多少时间后解锁,单位是秒。3.限制用户从tty登陆

vim /etc/pam.d/login#%PAM-1.0 auth required pam_tally2.so deny=3 lock_time=300 even_deny_root root_unlock_time=10


注意点:添加的内容一定要添加在前面,即“#%PAM-1.0” 之后,如果写在后面,虽然用户被锁定,但只要用户名和密码正确,依然是可以成功登陆进去的。

参数说明:

evendenyroot : root用户也限制。deny :设置普通用户和root用户连续错误登陆的最大次数,超过最大次数,则锁定该用户.unlock_time :普通用户锁定后,多长时间后解锁,单位是秒。rootunlocktime :root用户锁定后,多少时间后解锁,单位是秒。4.查看用户登陆失败次数

[root@localhost]# pam_tally2 --user root Login Failures Latest failure Fromroot 0


5.解锁指定用户

[root@localhost ~]# pam_tally2 -r -u root Login Failures Latest failure Fromroot 0

6.设置口令复杂度

编辑 /etc/pam.d/system-auth找到pam_cracklib,在后加一些参数具体如下:[root@lkjtest ~]# cat /etc/pam.d/system-auth |grep cracklibpassword requisite pam_cracklib.so retry=5 difok=3 minlen=10 ucredit=-1 lcredit=-1 dcredit=-1 ocredit=-1


参数说明:

retry=5:表示允许输入5次

difok=3:新密码与旧密码不同的个数为3

minlen=10:密码长度至少10位

ucredit=-1 :至少一位大写字母

lcredit=-1:至少一位小写字母

dcredit=-1:至少一位数字

ocredit=-1:其他字符至少一位

7.限制su的权限

如果你不想任何人能够用su作为root,可以通过以下限制:

编辑/etc/pam.d/su文件,增加如下两行:auth sufficient pam_rootok.so debugauth required pam_wheel.so group=admin

只有admin组的用户才能su


8.设置用户登陆的时间段

有时为了系统登陆的安全,我们需要限制用户只能在特定的时间段才允许登陆主机,可以通过以下设置。

#vi /etc/pam.d/sshd添加如下内容:account required pam_time.so# vi /etc/security/time.conf 添加如下内容:sshd;*;admin;!Th2100-2300



time.conf参数说明:

sshd:表示仅对ssh程序限制*:表示任何终端,也可以指定终端如tty1,tty2等admin:表示仅对admin用户限制!Tu2200-2230 :允许登录时间是周四2100-2300之外9.特别帐号的处理

如果不启动用sendmail,删除如下用户

[root@localhost]# userdel adm[root@localhost]# userdel lp[root@localhost]# userdel sync[root@localhost]# userdel shutdown[root@localhost]# userdel halt[root@localhost]# userdel mail

如果不用X windows服务器.可有删除

[root@localhost]# userdel news[root@localhost]# userdel uucp[root@localhost]# userdel operator[root@localhost]# userdel games

如果不允许匿名FTP帐号登陆,可删除

[root@localhost]# userdel gopher[root@localhost]# userdel ftp

10.设置注销用户的时间及历史命令数

[root@tp ~]# vi /etc/profile...HOSTNAME=`/bin/hostname`HISTSIZE=1000 //这里1000代表用户操作命令的历史记录,应尽量小一些,设置成0也可以。tmout=600 //表示如果系统用户在600秒(10分钟)内不做任何操作,将自动注销这个用户.


11.防暴力破解

针对用户的防暴力破解,通常采用以下方法

(1)hostDenyHosts :此软件的具体使用方法,可以参考官方文档。

(2)编写脚本检查/var/log/secure访问日志文件:通过统计日志文件中的登陆失败的ip,并将达到阈值的ip添加到/etc/hosts.deny来拒绝某个ip的再次访问。

  • 智取大名府概括50字(智取大名府大概内容)
  • 2024-11-05智取大名府大概内容为了搭救被囚禁的卢俊义和石秀,宋江兵打大名府因各种原因没能攻下次年开春宋江再度出兵大名府时值元宵佳节,吴用派遣梁山兄弟们装扮成各种身份的人混进大名府时迁火烧大名府最热闹的地方翠云楼,引发骚乱梁山好汉里。
  • 创新型物理题(大学网课答案系列之)
  • 2024-11-05大学网课答案系列之智慧树|知到—艺术与审美—网课考试答案超星学习通—智能教育关键技术—网课答案查询职教云课堂—走进故宫—网课考试答案题库各学习APP网课答案都可查询1、()干燥方法,使食品具有轻微膨化A、滚筒干燥B、真。
  • 奇特的鸟类大全(史上最齐罕见鸟类大全)
  • 2024-11-05史上最齐罕见鸟类大全传说里的鹰嘴兽,千年难得一见三对翅膀的鸟儿,见过的算你牛!这鸟凶起来,可不是吃吃鱼就算了!手指还小的鸟儿,眼神不好可能看不到!这可能是我这辈子,见过的最可爱猫头鹰了!你的脸,像极了被切开的雪梨!飘飘欲。
  • ps如何快速贴图教程 PS入门级课程01-如何快速贴图
  • 2024-11-05ps如何快速贴图教程 PS入门级课程01-如何快速贴图PS小白们大多都觉得PS好复杂貌似很难学其实不然从今天开始,梨子邀请小白们,跟着梨子慢慢解开PS的神秘面纱废话不多说,上图下面就是需要我们贴图的素材开始操练:第一步:打开PS软件,文件-打开-把素材置。
  • 清洗毛领的实用小妙招(需要怎么清洗方便)
  • 2024-11-05需要怎么清洗方便灰尘清洁,毛领极易沾附灰尘,外出一天,虽然衣物上看不出痕迹,但事实上毛领上已经积累了不少固体灰尘,若不及时清理,就会影响毛领的柔软度所以对于穿着超过一天的毛领,我们应该及时用毛领刷,细细刷几遍,除去里。
  • 从头甜到尾的校园甜宠文(三本大学校园甜文)
  • 2024-11-05三本大学校园甜文哈喽哈喽,姐妹们,中午好呀!今天我来给大家推荐三本高质量的小说,主要情节都发生在【大学校园】,也有【都市】部分,整体都是超级超级甜文!!保证你会喜欢der第一本:《陷入我们的热恋》“希望世俗不要对我的。
  • 看透人心的句子50条(那些看透人心的句子)
  • 2024-11-05那些看透人心的句子1、任何人的劝阻都不会让你大彻大悟.真正让你如梦初醒、看透人情事故的,只有经历、吃亏、后悔和受伤2、成年人的世界,除了快乐是假的,钱难赚是真的,心难交是真的,无助是真的,回头一看没有人依靠也是真的3、。
  • 你的问题别人帮你解决不了(你有什么事我们帮你解决)
  • 2024-11-05你有什么事我们帮你解决“有什么事你跟我们说,有什么顾虑,我们帮你解决,不要激动”近日,一段视频受到了网友们的关注,视频中一男子欲跳楼轻生,民警暖心的劝导语让人为之感动最终,该男子被民警成功救下据了解,日前,长治市公安局屯留。
  • 黄蓉告诉李莫愁杨过断手(黄蓉本来打算杀掉李莫愁)
  • 2024-11-05黄蓉本来打算杀掉李莫愁#不用计谋,黄蓉和李莫愁谁的武功更高#神雕侠侣中除开五绝,天下的高手有数,在女性里面最为出名的就是黄蓉以及李莫愁了,比起黄蓉,李莫愁让江湖人物闻之色变,一来是他武功不弱,而且心狠手辣,加上毒针的加持让。
  • 胖大海泡水的胖大海能吃吗(什么人不能吃胖大海)
  • 2024-11-05什么人不能吃胖大海胖大海为梧桐科植物胖大海的干燥成熟种子生于热带地区,分布在越南、印度尼西亚、马来西亚、泰国等地4~6月果实成熟开裂时,采收种子,晒干用胖大海的功效与作用味甘,性寒,有小毒归肺、大肠经具有清肺热、利咽喉。