安全迎检之服务器相关配置

已于 2023-11-22 16:02:58 修改
阅读量122 收藏 1
点赞数
分类专栏: Linux 文章标签: 服务器 linux 安全
于 2023-11-22 15:55:13 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_38222067/article/details/134553320
版权

一、配置登录失败处理策略

vi /etc/pam.d/system-auth

新增内容:

auth required pam_tally2.so deny=3 unlock_time=600 even_deny_root root_unlock_time=1200

account required pam_tally2.so

截图如下:
在这里插入图片描述

参数描述:
pam_tally2模块用于记录用户登录失败的次数,并在达到一定的阈值后禁止用户继续尝试登录。它是一种安全措施,可以帮助保护系统免受恶意攻击。
pam_tally2模块分为两部分,一部分是pam_tally2.so,另一部分是pam_tally2。它基于PAM模块,可用于检查和操作计数器文件。它可以显示用户登录尝试次数,单独设置计数,也可清除计数,解锁所有用户登录锁定。

#设置普通用户和root用户连续错误登陆的最大次数,超过最大次数,则锁定该用户
deny=3
#设定普通用户锁定后,多少秒后解锁
unlock_time=600
#该限制同时对root用户生效
even_deny_root
#设定root用户锁定后,多少秒后解锁
root_unlock_time=1200

二、配置超时自动退出功能

1、修改配置文件

vi /etc/profile

2、添加超时时间

#0:登录永不超时。
#只能为正整数,单位为秒,最大值为4294967295,超过最大值自动设置为最大值。
TMOUT=600

如图所示:
在这里插入图片描述
3、重新加载配置文件

source /etc/profile

三、linux开启日志

1、通过命令开启日志

systemctl start auditd && systemctl start rsyslog

2、配置日志保存时间
(1)打开配置文件

vi /etc/logrotate.conf

(2)设置保存时长

#时长单位为周
rotate 30

在这里插入图片描述

四、开启防火墙,设置开放端口,开启日志

1、开启防火墙

systemctl start firewalld

2、开放或关闭指定端口

#开放22端口
firewall-cmd --zone=public --add-port=22/tcp --permanent
#关闭22端口
firewall-cmd --zone=public --remove-port=22/tcp --permanent

3、对端口操作后,需要执行重载命令使其生效

firewall-cmd --reload

4、查看当前对外开放的端口(第三步执行后才可生效)

firewall-cmd --list-ports

在这里插入图片描述
5、查看防火墙当前状态

systemctl status firewalld

在这里插入图片描述
6、配置日志开启
(1)打开配置文件

vi /etc/firewalld/firewalld.conf

(2)添加内容

#LogDenied,默认值是 off,即关闭,改为LogDenied=all
LogDenied=all

在这里插入图片描述
(3)重启,查看是否生效

#加载配置项,输出:LogDenied=all
grep LogDenied= /etc/firewalld/firewalld.conf
#重启防火墙
systemctl restart firewalld.service
#查看是否生效,输出all表示已开启
firewall-cmd --get-log-denied

在这里插入图片描述
(4)查看拦截的日志

dmesg --| grep -i reject

五、SSH访问控制,多次失败登录即封掉IP,防止暴力破解

1、读取/var/log/secure,查找关键字 Failed

Sep 17 09:08:09 localhost sshd[29087]: Failed password for root from 13.7.3.6 port 44367 ssh2
Sep 17 09:08:20 localhost sshd[29087]: Failed password for root from 13.7.3.6 port 44367 ssh2 
Sep 17 09:10:02 localhost sshd[29223]: Failed password for root from 13.7.3.6 port 56482 ssh2 
Sep 17 09:10:14 localhost sshd[29223]: Failed password for root from 13.7.3.6 port 56482 ssh2

2、从这些行中提取IP地址,如果次数达到5次则将该IP写到 /etc/hosts.deny中
在这里插入图片描述

3、把始终允许的IP填入 /etc/hosts.allow ,这很重要!比如: sshd:111.53.220.202:allow
在这里插入图片描述

六、禁止XSHELL中SSH直联

1、支持内网直接登录:

#通过ssh指令,通过内网IP、用户名、密码可直接进入相应内网IP对应的服务器
#从安全方面讲,不利于服务器的管理
ssh 192.168.0.21@qksl

在这里插入图片描述
2、限制内网直接连接:

#通过配置以下内容,可限制步骤1的操作
vi /etc/hosts.deny
sshd:192.168.0.*

在这里插入图片描述

七、Linux关闭网络服务

1、关闭网络服务

service network stop

在这里插入图片描述

2、telnet服务

#步骤1:查看是否具有telnet服务
telnet 127.0.0.1 22
#步骤2:如果存在,通过以下指令获取服务名称
rpm -qa | grep telnet
#步骤3:删除通过步骤2获取的服务
rpm -e telnet-0.17-38.el5

3、Rlogin服务

#步骤一:安装rlogin服务
yum -y install rsh rsh-server xinetd
#步骤二:查看是否具有相关服务
rlogin -l root 127.0.0.1
#步骤三:查看相应的服务
rpm -qa | grep rsh
rpm -qa | grep xinetd
#步骤四:删除步骤三查出的服务
rpm -e rsh-0.17-80.el7.x86_64

4、Mail服务

#步骤一:安装mail服务
yum install -y mailx
#步骤二:查看是否具有该服务
mail -s "主题"  收件地址
#步骤三:查看相应的服务
rpm -qa | grep mail
#步骤四:删除相应的服务
rpm -e *******
水溶C101
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Linux使用pam_tally2.so模块限制登录失败锁定时间
weixin_34021089的博客
04-24 4649
关于PAM Linux-PAM (Pluggable Authentication Modules for Linux)可插拔认证模块。 https://www.cnblogs.com/klb561/p/9236360.html #vi /etc/pam.d/system-auth 增加auth required pam_tally2.so deny=6 onerr=fail no...
linux设置登录失败处理功能(密码错误次数限制、pam_tally2.so模块)和操作超时退出功能(/etc/profile)
hjxloveqsx的博客
02-13 1万+
linux设置登录失败处理功能(密码错误次数限制、pam_tally2.so模块)和操作超时退出功能(/etc/profile)
Linux系统升级openssh后登录pam_tally2.so计数不清零问题解决
空巢青年_rui的博客
07-24 6272
Linux系统pam_tally2登陆成功后失败计数不清零问题解决 问题描述 linux系统(影像版本包括centos6.x,centos7.x和ubuntu14.04、16.04、18.04等使用pam_tally2策略限制ssh登录失败次数的系统)的/etc/pam.d/sshd pam策论配置文件修改添加限制用户登录次数的策略: auth required pam_tally2.so onerr=fail deny=10 unlock_time=1800 even_deny_root root_u
Linux 账号防暴力破解之PAM
jifengRu的专栏
09-01 205
如果不想限制 root 帐户,可以把 even_deny_root 、 root_unlock_time这两个参数去掉, root_unlock_time 表示 root 帐户的 锁定时间,onerr=fail 表示连续失败,deny=3,表示 超过3 次登录失败即锁定。用户锁定期间,无论在输入正确还是错误的密码,都将视为错误密码,并以最后一次登录为锁定起始时间,若果用户解锁后输入密码的第一次依然为错误密码,则再次重新锁定。注意添加的位置,要写在第一行,即#%PAM-1.0的下面。
CentOS7 设置失败登陆策略
lee_yanyi的博客
05-10 3612
设置:非法登陆失败5次后锁定30分钟 备份文件 cp /etc/pam.d/sshd /etc/pam.d/sshd.bak 修改配置文件 vim /etc/pam.d/sshd 添加如下信息: auth required pam_tally2.so deny=5 unlock_time=1800 even_deny_root root_unlock_time=1800 even_deny_root也限制root用户; deny设置普通用户和root用户连续错误登陆的最大次数..
服务器安全设置之 服务器安全和性能配置
09-30
下面文本保存为: windows2000-2003服务器安全和性能注册表自动配置文件.reg 运行即可,可抵御DDOS攻击2-3万包,提高服务器TCP-IP整体安全性能(效果等于软件防火墙,节约了系统资源)
WEB服务器安全配置说明文档
10-01
WEB服务器安全配置说明文档
Apache Web服务器安全配置全攻略
09-15
作为最流行的Web服务器,Apache Server提供了较好的安全特性,使其能够应对可能的安全威胁和信息泄漏
Linux 服务器安全配置
09-15
Linux 服务器安全配置,需要的朋友可以参考下
window-server服务器安全配置检查项目清单
最新发布
02-22
window_server服务器安全配置检查项目清单
配置PAM认证模块
weixin_48656096的博客
09-03 1988
预备知识:Linux-PAM(Linux可插入认证模块) 实验靶机: Kali Linux3 实验步骤: 1.打开终端,进入PAM配置文件夹:cd /etc/pam.d 2.编辑system-auth配置文件,命令:vi system-auth 3.禁止使用旧密码——找到passwo和pam_unix.so的字段并在其后面加上remeber=5(表示禁止使用最近使用过得五个密码) 4.设置最短密码长度——找到同时有password和pam_cracklib.so,(没有自己添加)将其修改为password
linux 设置在连续输错错误密码n次后,锁定该用户
ajax_beijing_java的博客
09-13 2350
4、pam_tally没有自动解锁功能 因为pam_tally没有自动解锁的功能,所以,在设置限制时,要多加注意,万一全做了限制,而 root用户又被锁定了,就只能够进单用户模式解锁了,当然,也可以添加crontab任务,达到定时自动解锁的功能,但需要注意的是,如果在/etc /pam.d/system-auth 文件中添加了pam_tally的话,当root被锁定后,crontab任务会失效,所以,最好不要在system-auth 文件中添加pam_tally。如果不限制root用户,则可以写成。
uos账号解锁
初级驾照的博客
06-14 3661
uos解锁账号
多次登录失败用户被锁定及使用Pam_Tally2解锁
qq_41847721的博客
10-31 1万+
linux系统中,用户多次登录失败会被锁定,一段时间内将不能再登录系统,这是一般会用到Pam_Tally2进行账户解锁。 了解PAM Linux-PAM (Pluggable Authentication Modules for Linux)可插拔认证模块。Linux-PAM是一套适用于Linux的身份验证共享库系统,它为系统中的应用程序或服务提供动态身份验证模块支持。在Linux中,PAM是可动态配置的,本地系统管理员可以自由选择应用程序如何对用户进行身份验证。PAM应用在许多程序与服务上,比如登录程序
linux用户解锁pam_tally,多次登录失败用户被锁定及使用Pam_Tally2解锁
weixin_30979229的博客
04-28 6870
linux系统中,用户多次登录失败会被锁定,一段时间内将不能再登录系统,这是一般会用到Pam_Tally2进行账户解锁。了解PAMLinux-PAM (Pluggable Authentication Modules for Linux)可插拔认证模块。Linux-PAM是一套适用于Linux的身份验证共享库系统,它为系统中的应用程序或服务提供动态身份验证模块支持。在Linux中,PAM是可动态...
linux设置登录超时,登录失败策略
ChuandongTan的博客
08-03 6848
身份鉴别——Linux配置登录失败处理功能
lucycat的博客
03-02 1万+
Linux配置登录失败处理功能RHEL(Red Hat Enterprise Linux配置测试本地登录:远程登录:Ubuntu配置测试本地登录远程登录     对于一台服务器而言,有两种登录方式:本地登录和远程登录,登录失败处理功能的配置也从这两个方面来配置。由于RedHat系(例如Red Hat Enterprise Linux和CentOS)和Debian系(例如Ubuntu)在配置上稍有不同,所以分开来说。 RHEL(Red Hat Enterprise Linux配置     红帽的登录失败
Linux使用PAM锁定多次登陆失败的用户(含重置错误次数)
热门推荐
新路的专栏
05-22 5万+
修改如下文件 /etc/pam.d/sshd    (远程ssh) /etc/pam.d/login    (终端) 在第一行下即#%PAM-1.0的下面添加: auth    required    pam_tally2.so    deny=3    unlock_time=600 even_deny_root root_unlock_time=1200 各参数解释: ev
服务器安全配置red
07-28
对于服务器安全配置,我可以为您提供一些建议: 1. 更新操作系统:确保您的服务器操作系统及其组件(如Web服务器、数据库等)都是最新版本,并及时应用安全补丁以修复已知漏洞。 2. 防火墙配置配置防火墙以限制...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值