1.修改弱口令帐号密码
echo "用户密码" | passwd --stdin weihu
2.禁止root用户远程登录
cp -p /etc/ssh/sshd_config /etc/ssh/sshd_config_bak
echo -n "PermitRootLogin no" >> /etc/ssh/sshd_config
systemctl restart sshd
3.修改用户缺省UMASK
cp -p /etc/profile /etc/profile_bak
cp -p /etc/csh.login /etc/csh.login_bak
cp -p /etc/csh.cshrc /etc/csh.cshrc_bak
cp -p /etc/bashrc /etc/bashrc_bak
cp -p /root/.bashrc /root/.bashrc_bak
cp -p /root/.cshrc /root/.cshrc_bak
vim /etc/profile
vim /etc/csh.cshrc
vim /etc/bashrc
将umask值修改为027,保存退出:wq。
4.限制访问ssh服务的IP
#允许访问的IP或网段
vim /etc/hosts.allow
sshd:10.22.22.,124.204.36.138:allow
#除加白IP其余全部禁止
vim /etc/hosts.deny
sshd:all:deny
5.设置密码过期策略
cp -p /etc/login.defs /etc/login.defs_bak
vim /etc/login.defs
#密码有效期(day)
PASS_MAX_DAYS 180
#密码修改间隔(day)
PASS_MIN_DAYS 7
#密码最小位数(个)
PASS_MIN_LEN 8
#密码提前x天到期提醒
PASS_WARN_AGE 7
#最小和最大UID范围(可不修改)
UID_MIN 1000
UID_MAX 60000
#加密模式(默认sha512)
ENCRYPT_METHOD SHA512
6.修改密码文件编辑权
cp -p /etc/passwd /etc/passwd_bak
cp -p /etc/shadow /etc/shadow_bak
cp -p /etc/group /etc/group_bak
chmod 0644 /etc/passwd
chmod 0400 /etc/shadow
chmod 0644 /etc/group
7.修改shell会话超时时间(超过此时间shell自动注销)
#超过180(s)自动退出当前会话登录
echo "TMOUT=180" >> /etc/profile
echo "export TMOUT" >> /etc/profile
source /etc/profile
8.修改csh下的自动超时
echo "set autologout=30" >> /etc/csh.cshrc
#修改完成后,退出连接再重新登陆即可生效。
9.禁止使用旧密码(禁止使用最近五次旧密码)
#创建记录旧密码文件
touch /etc/security/opasswd
chown root:root /etc/security/opasswd
chmod 600 /etc/security/opasswd
vim /etc/pam.d/system-auth
password sufficient pam_unix.so #在此行添加 ”remember=5“
10.限制登录失败锁定时间
vim /etc/pam.d/system-auth
#在第二行添加如下内容
auth required pam_tally2.so deny=6 onerr=fail unlock_time=120
deny=n 失败登录次数超过n次后拒绝访问
unlock_time=n 超出失败登录次数限制后,解锁的时间
11.设置密码复杂度
vim /etc/pam.d/system-auth
password requisite pam_cracklib.so dcredit=-1 ucredit=-1 lcredit=-1 ocredit=-1 minclass=2 minlen=8