设置系统口令策略。
不建议使用以下类似的简单密码:123456 Password 123@qwer
使用以下命令查看密码策略设置:
#cat /etc/login.defs|grep PASS
可根据需要修改配置文件/etc/login.defs
PASS_MAX_DAYS 90 #新建用户的密码最长使用天数
PASS_MIN_DAYS 0 #新建用户的密码最短使用天数
PASS_WARN_AGE 7 #新建用户的密码到期提前提醒天数
PASS_MIN_LEN 9 #最小密码长度9
2.设置口令过期时间。
对于采用静态口令认证技术的设备,账户口令的生存期不长于90天。
操作:修改/etc/login.defs 文件,添加内容:
PASS_MAX_DAYS 90
3.登录连续认证失败锁定帐号。
对于采用静态口令认证技术的设备,应配置当用户连续认证失败次数超过6次,锁定该用户使用的账号。参考配置操作:
CentOS:
在etc/pam.d/system-auth中auth列中添加:
auth required pam_tally.so onerr=fail deny=6 unlock_time=300
参数说明:
Deny:失败次数。
Unlock_time:锁定帐户多少秒后解锁。
4.网络访问安全。
设置访问控制策略限制能够使用ssh管理本机的IP地址
修改ssh配置文件
/etc/ssh/sshd_config
如需要限制只让192.168.1.0/24网段登录root用户,可在配置文件中添加一行:
allowusers root@192.168.1.*
注:可将root更改为需要限制登录的用户名;
保存后重启ssh服务
service sshd restart
5.禁止root用户远程登陆。
检查 /etc/ssh/sshd_config:
查看是否有此条配置:
PermitRootLogin yes
可将此条配置修改为
PermitRootLogin no
保存后重启ssh服务:
service sshd restart
除了以上限制root账户远程登陆外,/etc/ssh/sshd_config文件中还有很多其他的安全设置。
例如,修改ssh服务的默认端口:Port 2222。
修改登录失败的最大尝试次数:MaxAuthTries 6。
修改允许同时连接的主机数量:MaxSessions 10。
6.修改帐户TMOUT值,设置自动注销时间.
检查方法:
#cat /etc/profile 查看有无TMOUT的设置
添加配置:TMOUT=600 意思是无操作600秒后自动退出
7.修改SSH监听端口。
修改配置文件 /etc/ssh/sshd_config
插入一行:port 2233
重启sshd服务:server sshd restart
8.如只想自己常用地址远程连接到服务器,配置方法如下:
① 先在白名单中添加一行允许自己的ip
vim /etc/hosts.allow
sshd : 192.168.58.131
② 在黑名单文件中添加拒绝所有即可,格式如下(也可使用平台的安全组限制源IP地址)
vim /etc/hosts.deny #添加如下一行即可
sshd:ALL
配置完了之后,用tcpdchk检查
9.封堵openssl的Heartbleed漏洞 。
①检测方法:在服务器上运行以下命令确认openssl版本
执行:openssl version
出现
OpensSSL 1.0.1e-fips 11 Feb 2013
②以上版本的openssl存在Heartbleed bug,需要有针对性的打补丁
升级补丁
yum -y install openssl
③验证
openssl version -a
以上built on 的时间是2014.6.5号,说明已经修复了该漏洞
10.修改history缓存条数。
使用history命令可以查看历史执行的命令。在/etc/profile文件中修改”HISTSIZE“的数值即可
vim ~/.bash_profile
11.域名映射。
vim /etc/hosts文件用于在通过主机名进行访问时做ip地址解析之用。所以,你想访问一个什么样的主机名,就需要把这个主机名和它对应的ip地址。
[root@node1 ~]# vi /etc/hosts
#### 在最后加上
192.168.52.201 node1
192.168.52.202 node2
192.168.52.203 node3
SSH登录问题
1.ssh服务器拒绝了密码 请再试一次
1).修改 vim /etc/ssh/sshd_config
找到# Authentication:
LoginGraceTime 120
PermitRootLogin without passwd
StrictModes yes
改成
# Authentication:
LoginGraceTime 120
PermitRootLogin yes
StrictModes yes
2).重启ssh
systemctl restart sshd
service sshd restart # 重启sshd
如果尝试过N种方法还是不行则进行如下操作
1、修改 vim /etc/sshd/sshd_config
找到UsePAM yes\
改为UsePAM no
2、重启ssh
systemctl restart sshd
service sshd restart # 重启sshd