对CentOS7进行账户和登录方面的安全加固

一、用户账户安全加固

1、修改用户密码策略

修改编辑配置文件:vi /etc/login.defs,修改如下配置:
PASS_MAX_DAYS        90   #用户的密码不过期最多的天数, 99999:永久有期;对login.defs文件修只影响后续建立的用户,如果要改变以前建立的用户的有效期等可以使用chage命令
PASS_MIN_DAYS        0   #密码修改之间最小的天数,0可修改,非0多少天后可修改
PASS_MIN_LEN         8   #密码最小长度
PASS_WARN_AGE        7    #密码失效前多少天在用户登录时通知用户修改密码

2、锁定或删除系统中与服务运行运维无关的用户
(1)查看系统中的用户并确定无用的用户
more /etc/passwd
(2)锁定不使用的账户(锁定或删除用户根据自己的需求操作即可)
锁定不使用的账户:
usermod -L username
或删除不使用的账户:
userdel -f username
(3)回退操作
用户锁定后,当使用时可解锁锁定,解除锁定命令为:
usermod -U username

3、锁定或删除系统中不使用的组
(1)查看系统中的组并确定不使用的组
cat /etc/group
(2)锁定或删除不使用的组
锁定不使用的组:
修改组配置文件/etc/group,在不使用的组前加“#”注释掉该组即可
删除不使用的组:
groupdel groupname

4、限制密码的最小长度 参考:https://blog.csdn.net/yang18600/article/details/122215038
vi /etc/pam.d/system-auth 添加:minlen=8

password    requisite     pam_pwquality.so try_first_pass local_users_only retry=3 authtok_type=
password    requisite     pam_pwquality.so minlen=8 try_first_pass local_users_only retry=3 authtok_type=

二、用户登录安全设置

1、设置避免SSH连接超时自动断开
(1)、修改前备份ssh配置文件/etc/ssh/sshd_config
cp /etc/ssh/sshd_config /etc
(2)、修改ssh服务配置文件
编辑vi /etc/ssh/sshd_config
“#ClientAliveInterval 0” 修改为“ClientAliveInterval 180” 去掉注释,改数字
“#ClientAliveCountMax 3” 修改为“ClientAliveCountMax 3” 去掉注释
注:这样连接centos7长时间不操作,不会因连接超时中断了;并不是超过这个时间,中断登录。参考:https://blog.csdn.net/libaineu2004/article/details/83857779
(3)、修改完成后重启ssh服务
systemctl restart sshd.service
(4)、回退操作
cp /etc/sshd_config /etc/ssh/sshd_config

2、设置当用户连续登录失败三次,锁定用户10分钟 参考:https://blog.csdn.net/captain525/article/details/88045767
(1)、锁定通过ssh协议登录的用户
编辑vi /etc/pam.d/sshd文件,在第一行下即#%PAM-1.0的下面添加:

auth required pam_tally2.so deny=3 unlock_time=600 per_user reset

(2)、锁定通过tty终端登录的用户
编辑vi /etc/pam.d/login文件,在第一行下即#%PAM-1.0的下面添加:

auth required pam_tally2.so deny=3 unlock_time=600 per_user reset

3、设置用户不能使用最近五次使用过的密码 参考:https://www.jianshu.com/p/1c7bd44caa38/
vi /etc/pam.d/system-auth, 增加一行

password    requisite     pam_pwhistory.so use_authtok remember=5 retry=3

4、设置登录系统账户超时自动退出登录
(1)、修改系统环境变量配置文件/etc/profile,在文件的末尾加入“TMOUT=1800”,使登录系统的用户三十分钟不操作系统时自动退出登录。
echo TMOUT=1800 >>/etc/profile
(2)、使配置生效
source /etc/profile

5、禁止root用户远程登录(部署最后操作,否则无法远程连接root用户)
(1)、修改ssh服务配置文件不允许root用户远程登录
编辑/etc/ssh/sshd_config找到“#PermitRootLogin yes”去掉注释并修改为“PermitRootLogin no”
vi /etc/ssh/sshd_config
(2)、修改完成后重启ssh服务
systemctl restart sshd.service

评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值