Linux主机安全加固

最新推荐文章于 2024-05-13 03:11:29 发布
最新推荐文章于 2024-05-13 03:11:29 发布
阅读量515 收藏 2
点赞数 1
文章标签: linux 安全 服务器 运维 Powered by 金山文档
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_22993025/article/details/128644510
版权

  1. 设置系统口令策略。

不建议使用以下类似的简单密码:123456 Password 123@qwer

使用以下命令查看密码策略设置:  

#cat /etc/login.defs|grep PASS

可根据需要修改配置文件/etc/login.defs  

PASS_MAX_DAYS 90 #新建用户的密码最长使用天数  
PASS_MIN_DAYS 0  #新建用户的密码最短使用天数  
PASS_WARN_AGE 7  #新建用户的密码到期提前提醒天数       
PASS_MIN_LEN  9  #最小密码长度9

2.设置口令过期时间。

对于采用静态口令认证技术的设备,账户口令的生存期不长于90天。

操作:修改/etc/login.defs 文件,添加内容:

PASS_MAX_DAYS 90

3.登录连续认证失败锁定帐号。

对于采用静态口令认证技术的设备,应配置当用户连续认证失败次数超过6次,锁定该用户使用的账号。参考配置操作:

CentOS:  
在etc/pam.d/system-auth中auth列中添加:        
auth required pam_tally.so onerr=fail deny=6 unlock_time=300

参数说明:
Deny:失败次数。
Unlock_time:锁定帐户多少秒后解锁。

4.网络访问安全。

设置访问控制策略限制能够使用ssh管理本机的IP地址

修改ssh配置文件 

/etc/ssh/sshd_config

如需要限制只让192.168.1.0/24网段登录root用户,可在配置文件中添加一行:

allowusers root@192.168.1.*

注:可将root更改为需要限制登录的用户名;

保存后重启ssh服务

service sshd restart

5.禁止root用户远程登陆。

检查 /etc/ssh/sshd_config:

查看是否有此条配置:
PermitRootLogin  yes
可将此条配置修改为
PermitRootLogin no
保存后重启ssh服务:
service sshd restart

除了以上限制root账户远程登陆外,/etc/ssh/sshd_config文件中还有很多其他的安全设置。

例如,修改ssh服务的默认端口:Port 2222。
修改登录失败的最大尝试次数:MaxAuthTries 6。
修改允许同时连接的主机数量:MaxSessions 10。

6.修改帐户TMOUT值,设置自动注销时间. 

检查方法: 

#cat /etc/profile 查看有无TMOUT的设置 

添加配置:TMOUT=600 意思是无操作600秒后自动退出

7.修改SSH监听端口。

修改配置文件 /etc/ssh/sshd_config

插入一行:port 2233

重启sshd服务:server sshd restart

8.如只想自己常用地址远程连接到服务器,配置方法如下:

① 先在白名单中添加一行允许自己的ip

vim /etc/hosts.allow
sshd : 192.168.58.131

② 在黑名单文件中添加拒绝所有即可,格式如下(也可使用平台的安全组限制源IP地址)

vim /etc/hosts.deny #添加如下一行即可

sshd:ALL

配置完了之后,用tcpdchk检查

9.封堵openssl的Heartbleed漏洞 。

①检测方法:在服务器上运行以下命令确认openssl版本 

执行:openssl version
出现
OpensSSL 1.0.1e-fips  11 Feb 2013

②以上版本的openssl存在Heartbleed bug,需要有针对性的打补丁

升级补丁

yum -y install openssl

③验证

openssl version -a

以上built on 的时间是2014.6.5号,说明已经修复了该漏洞

10.修改history缓存条数。

使用history命令可以查看历史执行的命令。在/etc/profile文件中修改”HISTSIZE“的数值即可

vim ~/.bash_profile

11.域名映射。

vim /etc/hosts文件用于在通过主机名进行访问时做ip地址解析之用。所以,你想访问一个什么样的主机名,就需要把这个主机名和它对应的ip地址。

[root@node1 ~]# vi /etc/hosts
#### 在最后加上
192.168.52.201  node1
192.168.52.202  node2
192.168.52.203  node3

SSH登录问题

1.ssh服务器拒绝了密码 请再试一次

1).修改 vim /etc/ssh/sshd_config

找到# Authentication:

LoginGraceTime 120
PermitRootLogin without passwd
StrictModes yes

改成

# Authentication:

LoginGraceTime 120
PermitRootLogin yes
StrictModes yes

2).重启ssh

systemctl restart sshd
service sshd restart  # 重启sshd

如果尝试过N种方法还是不行则进行如下操作

1、修改 vim /etc/sshd/sshd_config

找到UsePAM yes\

改为UsePAM no

2、重启ssh

systemctl restart sshd
service sshd restart  # 重启sshd

1305330116
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
linux系统安全加固
xiejin007的博客
04-27 380
linux系统安全加固linux系统安全加固 linux系统安全加固 脚本 系统加固脚本下载地址: https://download.csdn.net/download/hzgnet2021/63201374 时间获取 脚本开头先获取本机时间 #Variable rq=`date +%Y%m%d` Linux禁用不使用的用户 将passwd先复制一份备份,然后将以下不使用的用户都禁用,如后期有需要恢复可使用 passwd -u lp 来进行恢复 #account setup echo '
linux安全加固
qq_41453632的博客
01-09 993
锁定系统中多余的自建账号: 执行  cat /etc/passwd       cat /etc/shadow 使用命令passwd -l <用户名>锁定不必要的账号 使用命令passwd -u <用户名>解锁需要恢复的账号   检查shadow中空口令账号: 执行:awk -F ":" '($2=="!"){print $1}' /etc/shadow 加固方法:p...
Linux系统主机安全加固方案
weixin_54171196的博客
03-06 577
Linux系统主机安全加固方案
Linux 正确修改账户过期时间
weixin_44950652的博客
03-31 3291
Linux 正确修改账户过期时间修改/etc/login.defs文件不起作用查看linux用户的需要密码过期时间(已test为例子):`chage -l test`演示chage的用法 /etc/login.defs修改以下的几个参数是不起作用的 修改/etc/login.defs文件不起作用 PASS_MAX_DAYS 90;最长密码过期时间 PASS_MIN_DAYS 2; 最短密码过期时间 PASS_MIN_LENG 8;密码最小长度 PASS_WARN_AGE 7;密码过期警告数 查看l
Linux系统配置核查-【等保测评】网络安全等级保护测评 S3A3 计算环境操作系统(Linux)_等保 s3a3(3)
最新发布
2401_84545468的博客
05-13 579
1)经核查,配置并启用登录失败处理功能,查看登录失败处理功能相关参数,cat /etc/pam.d/system-auth 文件中存在“auth required pam_tally2.so onerr=fail deny=5 unlock_time=600 even_deny_root root_unlock_time=600。查看cat /etc/login.defs中的Umask为077。include /etc/logrotate.d #包含/etc/logrotate.d目录下的所有配置文件。
Centos7修改用户密码失效时间
superbfly的专栏
11-16 9145
vim /etc/login.defs #修改如下参数 PASS_MAX_DAYS 90#设置登录密码有效期90 PASS_MIN_DAYS 1 #登录密码最短修改时间,增加可以防止非法用户短期更改多次 PASS_MIN_LEN 8 #登录密码最小长度8位 PASS_WARN_AGE 7 #登录密码过期7提示修改 FAIL_DELAY 10 #登录错误时等待时间10秒 FAILLOG_ENAB yes #登录错误记录到日志 SYSLOG_SU_ENAB yes #当限定超级用...
linux设置密码复杂度限制,怎么设置
weixin_33875564的博客
01-11 2544
linux设置密码复杂度的方法有几个1. 一个是在/etc/login.defs文件,里面几个选项PASS_MAX_DAYS 90 #密码最长过期数PASS_MIN_DAYS 80 #密码最小过期数PASS_MIN_LEN 10 #密码最小长度PASS_WARN_AGE 7 #密码过期警告数2. 另外一个方法是,修改/etc/pam.d/system-auth...
linux设置密码复杂度限制
子非鱼39938的博客
08-27 665
在/etc/login.defs中,配置项对应指标如下 PASS_MAX_DAYS90 #密码最长过期数 PASS_MIN_DAYS 80 #密码最小过期数 PASS_MIN_LEN 10 #密码最小长度 PASS_WARN_AGE 7 #密码过期警告
linux 设置用户过期时间
热门推荐
LQ的博客
12-01 1万+
设置新用户缺省密码的过期时间 vi /etc/login.defs 修改PASS_MAX_DAYS的值即可 以上设置只适用于进行该设置以后,新添加的用户,即把这个设置作为新添用户的缺省设置 对于系统已经存在的账号 passwd -x 90 account 例如修改root账户 passed -x 90 root 设置某个用户的密码有效期 chage -m 0 -M 90 -W 15 root 说明: (1)以上命令表示设置用户root的密码最小有效期为0,最长有效期为90,在密码过期15对用
SUSELinux主机安全加固通用操作指导书.doc
02-24
SUSE Linux 主机安全加固通用操作指导书 SUSE Linux 主机安全加固通用操作指导书旨在提供一份详细的指导手册,以帮助管理员和安全专家对 SUSE Linux 主机进行安全加固。该指导书涵盖了从系统检查到加固实施的各个...
SUSE LINUX主机安全加固
08-18
SUSE LINUX主机安全加固,SUSE LINUX主机安全加固,SUSE LINUX主机安全加固
SUSE Linux主机安全加固
09-22
一线维护工程师和安全专业服务工程师进行SUSE LINUX系统管理和维护指南,有助于熟悉LINUX系统安全加固流程。
Linux密码定期更换时间配置
凌奇寒雪的博客
04-28 5400
Linux密码定期更换时间配置的一些注意事项。
linux 加固 密码有效期,Linux系统加固:修改用户口令时效机制
weixin_42511206的博客
04-30 3712
修改用户口令时效机制修改用户口令有效机制可有效的防止用户离开工作岗位一段时间后,其账户自动失效,就算管理员忘记删除该账户,该账户也不会给系统带来危害。1、/etc/login.defs“/etc/login.defs”文件是当创建一个用户时的一些规划,比如创建用户时,是否需要家目录,UID和GID的范围以及用户的期限等等,这个文件是可以通过root来定义的。可通过“vim /etc/login.d...
linux设置密码有效期,设置永不过期
qq_41504815的博客
11-29 4410
l #例出当设置。由非特权用户来确定他们的密码或帐号何时过期。-I #停滞时期。如果一个密码已过期这些,那么此帐号将不可用。-m #密码可更改的最小数,为0时代表任何时候都可以更改密码。1.查看admin用户密码默认情况,默认为永不修改。-E #帐号到期的日期。过了这,此帐号将不可用。-W #用户密码到期,提收到警告信息的数。-M #密码保持有效的最大数。-d #上一次更改的日期。2.设置密码定期过期
linux安全整改项
qq_22993025的博客
01-09 545
linux安全整改项:包括,配置口令复杂度校验功能、配置登录失败处理功能;设置空闲会话时间、限制默认账户的访问权限以及配置audit审计规则和设置审计记录保留时长
Linux基础二
weixin_54480920的博客
06-25 4028
Linux基础二
linux取消90密码过期,Linux 密码过期(WARNING:Your password has expired )
weixin_39606911的博客
04-29 2114
在以SSH免密方式,拉取git代码(git pull)时,报错:WARNING:Your password has expired原因是:我们当时修改了所有服务器上的密码过期时间,修改成了30。一旦修改了这个,后面新创建的用户的的密码过期时间就会是30(受到这个配置的影响)配置文件:/etc/login.defs 。它主要用于用户账号限制PASS_MAX_DAYS 60 #密码最大...
windows和linux安全加固
07-31
对于Windows和Linux主机安全加固,有一些重点需要注意。首先,账户和密码的安全是非常重要的,要确保没有弱口令和空口令,并定期更换密码。此外,管理员权限应该限制一般用户的登录和使用,每个用户应该有对应的...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值