系統加固步驟:
1、修改前備份配置檔案:
/etc/login.defs
cp-r /etc/login.defs/etc/login.defs.bak 2、
vi /etc/login.defs
,修改如下配置:
pass_max_days
90 (使用者的密碼不過期最多的天數)
pass_min_days
0 (密碼修改之間最小的天數)
pass_min_len
8 (密碼最小長度)
pass_warn_age7(
口令失效前多少天開始通知使用者更改密碼)3、
回退操作 cp
-r /etc/login.defs.bak /etc/login.defs
二、鎖定或刪除系統中與服務執行,運維無關的的使用者 1
、鎖定不使用的賬戶
usermod
-l使用者 2
、回退操作
usermod -u username
三、禁止
root
使用者遠端登入 1
、修改前備份
ssh配置檔案
/etc/ssh/sshd_conf
cp -r /etc/ssh/sshd_config/etc/ssh/sshd_config.bak
2、修改
ssh服務配置檔案不允許
root
使用者遠端登入 編輯
/etc/ssh/sshd_config
找到「#permitrootlogin yes」
去掉注釋並修改為
「permitrootloginno」
或者使用
sed修改,修改命令為:
sed -i "s@#permitrootloginyes@permitrootlogin no@g" /etc/ssh/sshd_config
3、修改完成後重啟
ssh服務
service sshd restart
四、設定遠端
ssh登入超時時間 1
、修改前備份
ssh服務配置檔案
/etc/ssh/sshd_config
cp -r /etc/ssh/sshd_conf/etc/ssh/sshd_conf.bak
2、設定遠端
ssh登入長時間不操作退出登入 編輯
/etc/ssh/sshd_conf
將」#clientaliveinterval 0」
修改為」clientaliveinterval180」
,將」#clientalivecountmax 3」
去掉注釋,或執行如下命令:
sed -i "s@#clientaliveinterval0@clientaliveinterval 180@g" /etc/ssh/sshd_config
sed -i "s@#clientalivecountmax3@clientalivecountmax 3@g" /etc/ssh/sshd_config 3、
配置完成後儲存並重啟
ssh服務
servicesshd restart
五、設定當使用者連續登入失敗三次,鎖定使用者
30分鐘 1
、配置前備份配置檔案
/etc/pam.d/sshd
cp -r /etc/pam.d/sshd/etc/pam.d/sshd.bak
2、設定當使用者連續輸入密碼三次時,鎖定該使用者
30分鐘
修改配置檔案
/etc/pam.d/sshd,
在配置檔案的第二行新增內容
:auth
required
pam_tally2.so deny=3
unlock_time=300
3、若修改配置檔案出現錯誤,回退即可,回退操作:
cp -r /etc/pam.d/sshd.bak/etc/pam.d/sshd
六、設定使用者不能使用最近三次使用過的密碼 1
、配置前備份配置檔案
/etc/pam.d/system-auth
cp -r /etc/pam.d/system-auth
/etc/pam.d/system-auth.bak
2、配置使用者不能使用最近三次使用的密碼
修改配置檔案
/etc/pam.d/system-auth,
找到行」password
sufficient
pam_unix.so sha512 shadow nulloktry_first_pass use_authtok」
,在最後加入
remember=3
3、回退操作
cp -r /etc/pam.d/system-auth.bak
/etc/pam.d/system-auth
七、禁用「
ctrl+alt+del」
重啟系統 1
、禁用「
ctrl+alt+del」
鍵重啟系統
修改配置檔案「
/etc/init/control-alt-delete.conf」
,注釋掉行
「start on control-alt-delete 」
。或用sed
命令修改:
sed -i "s@start oncontrol-alt-delete@#start on control-alt-delete@g"/etc/init/control-alt-delete.conf
2、使修改的配置生效
init q
3、回退操作
將修改配置檔案「
/etc/init/control-alt-delete.conf」
的「start on control-alt-delete 」
這一行加#號;
linux系統加固
主要加固內容 操作檔案備份格式 原始檔.bakdate y m d h m 01 鎖定不常用使用者 02 密碼輸入失敗3次鎖定1分鐘 03 設定密碼強度 8位4種字元 04 5分鐘無活動自動退出 05 修改儲存歷史命令數為10 06 修改使用者密碼使用最長時間90天,修改密碼最小長度8位 07 給 ...
Linux系統下主機加固
1 賬戶計數器摘自 linux pam模組之pam tally2詳解 1 修改如下檔案 etc pam.d sshd 限制ssh登入 etc pam.d login 限制終端登入 ps 也可修改 etc pam.d system auth 因為該檔案通常被sshd login檔案呼叫 在檔案中 pa...
Linux 系統安全加固
1,變更預設的ssh服務埠,禁止root使用者遠端連線 1 2 3 4 5 6 7 root ljohn cp etc ssh sshd config etc ssh sshd config.bak root ljohn vim etc ssh sshd config port 10022 ssh連...