系统加固步骤:
1、 修改前备份配置文件:/etc/login.defs
cp -r /etc/login.defs/etc/login.defs.bak
2、 编辑配置文件:vi /etc/login.defs,修改如下配置:
PASS_MAX_DAYS 90 (用户的密码不过期最多的天数)
PASS_MIN_DAYS 0 (密码修改之间最小的天数)
PASS_MIN_LEN 8 (密码最小长度)
PASS_WARN_AGE 7 (口令失效前多少天开始通知用户更改密码)
3、 回退操作
cp -r /etc/login.defs.bak /etc/login.defs
二、锁定或删除系统中与服务运行,运维无关的的用户
1、 锁定不使用的账户
Usermod -L 用户
2、回退操作
usermod -U username
三、禁止root用户远程登录
1、修改前备份ssh配置文件/etc/ssh/sshd_conf
cp -r /etc/ssh/sshd_config/etc/ssh/sshd_config.bak
2、修改ssh服务配置文件不允许root用户远程登录
编辑/etc/ssh/sshd_config找到“#PermitRootLogin yes”去掉注释并修改为“PermitRootLoginno”或者使用sed修改,修改命令为:
sed -i "s@#PermitRootLoginyes@PermitRootLogin no@g" /etc/ssh/sshd_config
3、 修改完成后重启ssh服务
service sshd restart
四、设置远程ssh登录超时时间
1、修改前备份ssh服务配置文件/etc/ssh/sshd_config
cp -r /etc/ssh/sshd_conf/etc/ssh/sshd_conf.bak
2、设置远程ssh登录长时间不操作退出登录
编辑/etc/ssh/sshd_conf将”#ClientAliveInterval 0”修改为”ClientAliveInterval180”,将”#ClientAliveCountMax 3”去掉注释,或执行如下命令:
sed -i "s@#ClientAliveInterval0@ClientAliveInterval 180@g" /etc/ssh/sshd_config
sed -i "s@#ClientAliveCountMax3@ClientAliveCountMax 3@g" /etc/ssh/sshd_config
3、 配置完成后保存并重启ssh服务
servicesshd restart
五、设置当用户连续登录失败三次,锁定用户30分钟
1、配置前备份配置文件/etc/pam.d/sshd
cp -r /etc/pam.d/sshd/etc/pam.d/sshd.bak
2、设置当用户连续输入密码三次时,锁定该用户30分钟
修改配置文件/etc/pam.d/sshd,在配置文件的第二行添加内容:
auth required pam_tally2.so deny=3 unlock_time=300
3、若修改配置文件出现错误,回退即可,回退操作:
cp -r /etc/pam.d/sshd.bak/etc/pam.d/sshd
六、设置用户不能使用最近三次使用过的密码
1、配置前备份配置文件/etc/pam.d/system-auth
cp -r /etc/pam.d/system-auth /etc/pam.d/system-auth.bak
2、配置用户不能使用最近三次使用的密码
修改配置文件/etc/pam.d/system-auth,找到行”password sufficient pam_unix.so sha512 shadow nulloktry_first_pass use_authtok”,在最后加入remember=3
3、 回退操作
cp -r /etc/pam.d/system-auth.bak /etc/pam.d/system-auth
七、禁用“CTRL+ALT+DEL”重启系统
1、禁用“ctrl+alt+del”键重启系统
修改配置文件“/etc/init/control-alt-delete.conf”,注释掉行“start on control-alt-delete ”。或用sed命令修改:
sed -i "s@start oncontrol-alt-delete@#start on control-alt-delete@g"/etc/init/control-alt-delete.conf
2、使修改的配置生效 init q
3、回退操作
将修改配置文件“/etc/init/control-alt-delete.conf”的“start on control-alt-delete ”这一行加#号;