本文详细介绍了Linux系统安全加固的多个方面,包括登录失败处理、远程访问安全、账户安全、安全审计、服务优化、防火墙设置、漏洞修补及资源限制。内容涵盖了密码策略、账户锁定、SSH安全、权限管理、日志审计、服务优化、防火墙规则以及用户资源限制等关键措施,旨在提升Linux系统的安全性。
目录导航
(一)登录失败处理
应对登录的用户进行身份标识和鉴别,身份标识具有唯一性,身份鉴别信息具有复杂度要求并定期更换
1.设置密码复杂度 在/etc/pam.d/system-auth文件中,配置密码必须包含数字、大写字符、小写字符、特殊字符,最小长度为8,对root用户有效,配置如下:
[root@localhost 桌面]# vi /etc/pam.d/system-auth
修改为:
password requisite pam_pwquality.so dcredit=-1 ucredit=-1 lcredit=-1 ocredit=-1 minlen=8 enforce_for_root
各字段的含义如下
字段 含义 推荐值
Dcredit 数字 -1
Ucredit 大写字母 -1
Lcredit 小写字母 -1
Ocredit 特殊字符 -1
Minlen 最短长度 8
2.设置密码定期更换 在/ect/login.defs文件配置,
[root@localhost 桌面]# vi /ect/login.defs
PASS_MAX_DAYS 90 //最长使用天数90天
PASS_MIN_DAYS 2 //密码修改最短天数2
PASS_MIN_LEN 8 //密码最短长度8
PASS_WARN_AGE 7 //过期前7天提醒
(二)登录失败处理
应具有登录失败处理功能,配置并启用结束会话、限制非法登录次数和当登录连接超时自动退出等相关措施
1.设置账户锁定策略 在/etc/pam.d/sy
2./etc/pam.d/system-auth文件中,使用pam_tally2.so或pam_tally.so模块。如登录失败5次,锁定1800秒
[root@localhost pam.d]# vi /etc/pam.d/system-auth
auth required pam_tally2.so deny=5 ulock_time=1800
字段 含义
Deny 尝试登录失败次数
Unlock_time 解锁时间(秒)
Event_deny_root 限制root用户
Root_unlock_time root用户解锁时间(秒)
2.设置远程登录连接超时自动退出 编辑/etc/profile文件,在文件的末尾设置TMOUT参数,单位为秒
[root@localhost pam.d]# vi /etc/profile
export TMOUT=600
最低0.47元/天 解锁文章
1972
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
