1、通过命令当前未查看到设置密码复杂度策略和密码强制定期更换策略,通过命令cat /etc/login.defs查看到
PASS_MAX_DAYS 99999
PASS_MIN_DAYS 0
PASS_MIN_LEN 5
PASS_WARN_AGE 7
建议:
设置密码定期进行更换:
PASS_MAX_DAYS 90
PASS_MIN_DAYS 5
PASS_MIN_LEN 8
PASS_WARN_AGE 7
设置密码复杂度策略:
在/etc/pam.d/system-auth文件中设置minlen=8 dcredit=-1 ucredit=-1 lcredit=-1 ocredit=-1。
2、通过命令cat /etc/pam.d/system-auth当前未查看到登录失败锁定账户策略,通过cat /etc/profile当前未查看到超时退出策略;
建议:
(1)登录失败锁定账户策略
步骤:
找到合适的位置添加策略:
打开 /etc/pam.d/system-auth 文件:
sudo vi /etc/pam.d/system-auth
在 auth 部分添加以下行,以启用登录失败锁定账户策略:
auth required pam_tally2.so deny=5 even_deny_root reset
保存并退出。
重启相关服务(可选):确保新配置生效,可以重启系统或相关服务。
(2)超时退出策略
步骤:设置超时退出:
打开 /etc/profile 文件:
sudo vi /etc/profile
在文件末尾添加以下行:
plaintext
TMOUT=300
export TMOUT
wq保存并退出。
让更改立即生效(可选):可以通过执行以下命令使当前会话生效:
source /etc/profile
检查与验证
验证登录失败锁定策略:进行多次错误登录尝试,检查是否在达到限制后账户被锁定。
验证超时退出策略:登录后不进行任何操作,观察是否在设定的超时时间后自动注销。
注意事项
备份原始文件:在进行任何更改之前,确保备份相关文件,以防出现问题。例如:
sudo cp /etc/pam.d/system-auth /etc/pam.d/system-auth.bak
sudo cp /etc/profile /etc/profile.bak
4、查看端口开启情况,关闭高危端口
建议:
高危端口通常包括:
- Telnet (23):不安全的远程登录工具。
- FTP (21):如果未使用加密,可能存在安全风险。
- SMTP (25):可能被滥用进行邮件中继。
- 其他常见高危端口:如 3306 (MySQL)、3389 (RDP) 等,视具体环境而定。
其他建议:
1.将重要配置数据、鉴别数据、业务数据进行定期备份到本地。
2.建议修改默认账户root,建立系统管理员账户(system)、安全管理员账户(secure)、审计管理员账户(audit),并设立相应权限,禁用超级管理员权限。