|
1、Linux服务器限制使用root远程登录
vi /etc/ssh/sshd_config
修改PermitRootLogin no
systemctl restart sshd.service
2、chage -m 0 -M 90 -W 15 用户名
chage -m 0 -M 90 -W 15 root
3、系统安装并开启审计服务
vi /etc/audit/auditd.conf
max_log_file_action = KEEP_LOGS
systemctl restart auditd.service
系统审计日志 /var/log/audit/audit.log
4、系统安全日志
UOS /var/log/auth.log
麒麟 cat /var/log/secure
5、历史命令记录的总行数修改为0 设置超时时间为360s
echo “export HISTSIZE=0” >> /etc/profile
echo “export TMOUT=360” >> /etc/profile
source /etc/profile
6、修改口令过期时间为90天及最小口令长度为8位
vi /etc/login.defs
PASS_MAX_DAYS 90
#密码最大有效期
PASS_MIN_DAYS 0
#两次修改密码的最小间隔时间
PASS_MIN_LEN 8
#密码最小长度,对于root无效
PASS_WARN_AGE 7
#密码过期前多少天开始提示
USERGROUPS_ENAB yes
#用MD5加密密码
7、口令复杂度校验
vi /etc/pam.d/common-password
password requisite pam_cracklib.so retry=3 difok=3 minlen=8 ucredit=-1 lcredit=-1 ocredit=-1
备注:修改/etc/security/pwquality.conf文件好像不起作用
修改密码,可以重试的次数
retry=3
与旧密码不同的字符个数
difok=3
新密码最小长度
minlen=8
数字个数。大于0,最多;小于0,最少
dcredit=-3
大写字母个数。大于0,最多;小于0,最少
ucredit=-1
小写字母个数。大于0,最多;小于0,最少
lcredit=-1
特殊字符个数。大于0,最多;小于0,最少
ocredit=-1
8、用户ssh/本地登录失败5次锁定帐户
vi /etc/pam.d/sshd
vi /etc/pam.d/login
在文件开头增加以下内容
auth required pam_tally2.so deny=5 unlock_time=300 even_deny_root root_unlock_time=300
9、三员分立
useradd -m -U -s /bin/bash sysadmin
拥有维护进程,防火墙,启停服务的权限
echo ‘sysadmin ALL=(ALL) NOPASSWD:/usr/bin/ping,/bin/ps,/bin/kill,/sbin/service,/sbin/iptables’ >> /etc/sudoers
useradd -m -U -s /bin/bash auditadmin
拥有查看日志的权限
setfacl -Rm u:auditadmin:r /var/log/
useradd -m -U -s /bin/bash secadmin
拥有创建用户,修改用户密码的权限
echo 'secadmin ALL=(ALL) NOPASSWD:/usr/sbin/useradd,/usr/sbin/userdel,/usr/bin/passwd ’ >> /etc/sudoers
10、限制IP通过SSH协议访问机器
echo “sshd:允许访问的IP地址” >> /etc/hosts.allow
echo “sshd:ALL” >> /etc/hosts.deny
11、重要文件使用chattr限制root用户删除
chattr +a /var/log/audit
|