关于Linux账号安全问题
控制系统账户
系统账户默认存放在cat /etc/passwd中,你可以手动查询用户信息,我们直接除了Root账户需要登录以外,其他的账户全部设置为禁止登录。
使用 passwd -l 用户名 锁定用户登录,如下我们写BASH脚本批量的完成这个过程。
修改口令生存期
口令生存期,即用户密码的过期时间,默认在cat /etc/login.defs | grep "PASS" 中存储着,我们需要把这个时间改小,如下配置即可。
# vim /etc/login.defs
# Password aging controls:
#
# PASS_MAX_DAYS Maximum number of days a password may be used.
# PASS_MIN_DAYS Minimum number of days allowed between password changes.
# PASS_MIN_LEN Minimum acceptable password length.
# PASS_WARN_AGE Number of days warning given before a password expires.
#
PASS_MAX_DAYS 90 # 新建用户密码最长使用天数
PASS_MIN_DAYS 0 # 新建用户密码最短使用天数
PASS_MIN_LEN 7 # 新建用户密码到期提示天数
PASS_WARN_AGE 10 # 最小密码长度
设置口令复杂度:
设置新建用户时输入的口令复杂程度,该配置默认在cat /etc/pam.d/system-auth 文件中存放。
# vim /etc/pam.d/system-auth
password required pam_cracklib.so try_first_pass retry=3 dcredit=-1 lcredit=-1 ucredit=-1 ocredit=-1 minlen=10
在上方文件中添加如下一行配置,其含义是至少包含一个数字、一个小写字母、一个大写字母、一个特殊字符、且密码长度>=10
限制登录超时
限制用户登陆成功后的等待时间,当用户终端无操作时则默认断开连接。
# vim /etc/profile
TMOUT=300
export TMOUT
限制TTY尝试次数: 该配置可以有效的防止,爆破登录情况的发生,其配置文件在cat /etc/pam.d/login中添加如下配置,这个方法只是限制用户从TTY终端登录,而没有限制远程登录
# vim /etc/pam.d/login
#%PAM-1.0
auth requiredpam_tally2.so deny=3 lock_time=300 even_deny_root root_unlock_time=10
# pam_tally2 --user lyshark 查询远程登录次数
修改SSH远程端口:
修改SSH登录端口,这里可以修改为65534等高位端口,因为Nmap扫描器默认也就探测0-1024端口,这样能够有效的规避扫描。
# vim /etc/ssh/sshd_config
# If you want to change the port on a SELinux system, you have to tell
# SELinux about this change.
# semanage port -a -t ssh_port_t -p tcp #PORTNUMBER
#
Port 65534 # 登录端口改为65534
MaxAuthTries=3 # 密码最大尝试次数3
# systemctl restart sshd
谢谢分享,希望在分享些关于Linux方面的知识!
页:
[1]