账户锁定安全策略配置
账户密码安全配置
配置文件: /etc/login.defs
PASS_MAX_DAYS
密码最长的有效期设置最好设置的有效期较短比较安全
PASS_MIN_DAYS
与第一个相反,设置最短密码有效期时间
PASS_MIN_LEN
设置密码长度不低于xxx位,建议设置的密码为8位以上较为安全
PASS_WARN_AGE
密码失效日期警告天数
限制任何用户使用su切换用户
使用命令 vim /etc/pam.d/su
添加一行内容为auth required pam_wheel.sogroup=<用户名>
指定xxx用户可以使用su
SSH安全加固
SSH 配置文件:
/etc/ssh/sshd_config
1.禁止root远程登录
修改该文件的#PermitRootLogin yes
一行,把yes
改为no
。
2.禁止使用密码登录,改用密钥登录系统
PasswordAuthentication
yes 改为 on
禁止使用密码验证方式登录系统
3.防止绕过2的验证方式登录
ChallengeResponseAuthentication
yes 改为 no
4. SSH登录安全机制
UsePAM
yes 改为 no
则标识拒绝登录ssh服务器
5. 设置某个ip或ip段的主机连接目标机SSH端口
路径: /etc/ssh/sshd_config
在文件末尾添加上
allowusers root@192.168.220.138
192.168.220.138 为我的ip,可以更改为其他ip地址
设置之后,其他主机都被拒绝访问连接,只能138这个ip可以访问
6. 更改默认端口
ssh默认端口为22 Port
将/etc/ssh/sshd_config
中的Port 22
改为其他任何端口
只要不超过65535
不占用特殊端口就行
如果把默认端口更改为其他端口后,出现连接失败的状况
提示: " Connection refuse .... " 的字样,可能防火墙屏蔽了指定端口
参考链接
解决方案:
1.执行 " service iptables stop"
把防火墙关闭,就可以访问目标端口
service iptablesstart
开启防火墙
service iptablesstop
关闭防火墙
service iptablesstatus
查看防火墙状态
2.或者 添加防火墙规则,添加指定端口号
FTP服务安全配置
1. 什么是FTP服务
FTP Server 服务器是一种专供其他电脑检索文件和存储的特殊电脑。文件服务器通常比一般的个人电脑拥有更大的存储容量,并具有一些其他的功能,如磁盘镜像、多个网络接口卡、热备援多电源供应器。到后来,文件服务器逐渐进化成带有RAID(Redundant Array of Independent Disk)存储子系统和其他高可用特性的高