1、Linux服务器限制使用root远程登录 vi /etc/ssh/sshd_config 修改PermitRootLogin no systemctl restart sshd.service
2、chage -m 0 -M 90 -W 15 用户名 chage -m 0 -M 90 -W 15 root
3、系统安装并开启审计服务 vi /etc/audit/auditd.conf max_log_file_action = KEEP_LOGS systemctl restart auditd.service 系统审计日志 /var/log/audit/audit.log
4、系统安全日志 UOS /var/log/auth.log 麒麟 cat /var/log/secure
5、历史命令记录的总行数修改为0 设置超时时间为360s echo “export HISTSIZE=0” >> /etc/profile echo “export TMOUT=360” >> /etc/profile source /etc/profile
6、修改口令过期时间为90天及最小口令长度为8位 vi /etc/login.defs PASS_MAX_DAYS 90 #密码最大有效期 PASS_MIN_DAYS 0 #两次修改密码的最小间隔时间 PASS_MIN_LEN 8 #密码最小长度,对于root无效 PASS_WARN_AGE 7 #密码过期前多少天开始提示 USERGROUPS_ENAB yes #用MD5加密密码
7、口令复杂度校验 vi /etc/pam.d/common-password password requisite pam_cracklib.so retry=3 difok=3 minlen=8 ucredit=-1 lcredit=-1 ocredit=-1 备注:修改/etc/security/pwquality.conf文件好像不起作用
修改密码,可以重试的次数
retry=3
与旧密码不同的字符个数
difok=3
新密码最小长度
minlen=8
数字个数。大于0,最多;小于0,最少
dcredit=-3
大写字母个数。大于0,最多;小于0,最少
ucredit=-1
小写字母个数。大于0,最多;小于0,最少
lcredit=-1
特殊字符个数。大于0,最多;小于0,最少
ocredit=-1
8、用户ssh/本地登录失败5次锁定帐户 vi /etc/pam.d/sshd vi /etc/pam.d/login 在文件开头增加以下内容 auth required pam_tally2.so deny=5 unlock_time=300 even_deny_root root_unlock_time=300
9、三员分立 useradd -m -U -s /bin/bash sysadmin 拥有维护进程,防火墙,启停服务的权限 echo ‘sysadmin ALL=(ALL) NOPASSWD:/usr/bin/ping,/bin/ps,/bin/kill,/sbin/service,/sbin/iptables’ >> /etc/sudoers useradd -m -U -s /bin/bash auditadmin 拥有查看日志的权限 setfacl -Rm u:auditadmin:r /var/log/ useradd -m -U -s /bin/bash secadmin 拥有创建用户,修改用户密码的权限 echo 'secadmin ALL=(ALL) NOPASSWD:/usr/sbin/useradd,/usr/sbin/userdel,/usr/bin/passwd ’ >> /etc/sudoers
10、限制IP通过SSH协议访问机器 echo “sshd:允许访问的IP地址” >> /etc/hosts.allow echo “sshd:ALL” >> /etc/hosts.deny
11、重要文件使用chattr限制root用户删除 chattr +a /var/log/audit
|