CentOS6.5安全策略设置

最新推荐文章于 2021-07-07 17:51:03 发布
最新推荐文章于 2021-07-07 17:51:03 发布
阅读量514 收藏 2
点赞数
分类专栏: CentOS
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wuling129/article/details/90704854
版权

CentOS6.5安全策略设置

应公司内部网站等级测评的需求,正逐渐加强系统安全防护

密码策略设置

检查方法:

使用命令

#cat /etc/login.defs|grep PASS查看密码策略设置

备份方法:

cp -p /etc/login.defs /etc/login.defs_bak

加固方法:

#vi /etc/login.defs修改配置文件

PASS_MAX_DAYS   90        #新建用户的密码最长使用天数

PASS_MIN_DAYS   0         #新建用户的密码最短使用天数

PASS_WARN_AGE   7         #新建用户的密码到期提前提醒天数

PASS_MIN_LEN    9         #最小密码长度9

限制SSH登录次数

设备默认 3 次验证失败自动退出,并且结束会话;网络登录连接超时自动退出时间 5 分钟;

第一种方法:已验证。

1.ssh超时时间设置

# cd /etc/profile.d/  #创建两个空白文件autologout.csh 、autologout.sh用来保存TMOUT配置 
# touch autologout.csh 
# touch autologout.sh 
# vi autologout.sh       #编辑autologout.sh

  1. #auto out in 5 minutes  

  2. TMOUT=300            #超时时间,单位为s  

  3. readonly TMOUT      #设置TMOUT变量只读  

  4. export TMOUT        #设置环境TMOUT  

# vi autologout.csh   #编辑autologout.csh

  1. set -r autologout 2  

# chmod  +x autologout.*     #可执行权限,其实单给u+x就行了。 
断开Client,重新登录终端5分钟不使用ssh就会自动断开连接.

2. ssh认证次数限制:

/etc/ssh/sshd_config

MaxAuthTries=3   这仅是超过3次验证错误断开连接。

 

使用PAM锁定多次登陆失败的用户

Linux有一个pam_tally2.so的PAM模块,来限定用户的登录失败次数,如果次数达到设置的阈值,则锁定用户。

编译PAM的配置文件

# vim /etc/pam.d/login

#%PAM-1.0 
auth      required  pam_tally2.so   deny=3lock_time=300 even_deny_root root_unlock_time=10
auth [user_unknown=ignoresuccess=okignoreignore=ignore default=bad] pam_securetty.so 
auth       include      system-auth 
account    required     pam_nologin.so 
account    include      system-auth 
password   include      system-auth 
# pam_selinux.so close should be the first session rule 
session    required     pam_selinux.so close 
session    optional     pam_keyinit.so force revoke 
session    required     pam_loginuid.so 
session    include      system-auth 
session    optional     pam_console.so 
# pam_selinux.so open should only be followed by sessions to be executed in the user context 
session    required     pam_selinux.so open

 各参数解释

even_deny_root    也限制root用户; 
deny           设置普通用户和root用户连续错误登陆的最大次数,超过最大次数,则锁定该用户 
unlock_time        设定普通用户锁定后,多少时间后解锁,单位是秒; 
root_unlock_time      设定root用户锁定后,多少时间后解锁,单位是秒; 
此处使用的是 pam_tally2 模块,如果不支持 pam_tally2 可以使用 pam_tally 模块。另外,不同的pam版本,设置可能有所不同,具体使用方法,可以参照相关模块的使用规则。

 

在#%PAM-1.0的下面,即第二行,添加内容,一定要写在前面,如果写在后面,虽然用户被锁定,但是只要用户输入正确的密码,还是可以登录的!

最终效果如下图

 

这个只是限制了用户从tty登录,而没有限制远程登录,如果想限制远程登录,需要改SSHD文件

posted @ 2015-08-03 18:05 wuling129 阅读(...) 评论(...) 编辑 收藏

wuling129
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Centos6.5 镜像文件下载
12-27
Centos6.5镜像文件 Linux。。
CentOS 6 服务器安全策略配置
vbaspdelphi的专栏
08-30 3374
场景方案检查最小密码长度在文件/etc/login.defs中设置 PASS_MIN_LEN 不小于标准值检查密码复杂度策略设置的特殊字符个数Redhat系统:修改/etc/pam.d/system-auth文件, 在ucredit=-1 lcredit=-1 dcredit=-1 ocredit=-1 选3种,追加到password requisite pam_cracklib.so后面,添加
CentO下限制SSH登录次数
bang152101的博客
05-15 402
应公司内部网站等级测评的需求,正逐渐加强系统安全护。 设备默认 3 次验证失败自动退出,并且结束会话;网络登录连接超时自动退出时间 5 分钟; 第一种方法:已验证。 1.ssh超时时间设置 # cd /etc/profile.d/  #创建两个空白文件autologout.csh 、autologout.sh用来保存TMOUT配置 # touch autologout.csh # touch autologout.sh # vi autologout.sh #编辑autologo...
linux配置超时_自动退出登录TMOUT
leenhem的博客
07-07 6992
linux配置超时_自动退出登录TMOUT介绍取消系统空闲等待时间设置系统空闲等待时间 介绍 系统为CentOS 7,一次无意操作在 /etc/profile 末尾增加了TMOUT=90,然后系统就总是一会没操作就自动退出登录,不仅ssh自动退出,在本地使用也自动退出,很麻烦,查了一下,原来是启动了系统空闲等待时间,TMOUT=90意思是90秒无操作就自动退出登录。 取消系统空闲等待时间 然后我需要取消这个设置,既然我是在/etc/profile中增加了TMOUT=90,那么我把它删除掉不就行了? 删
CentOS服务器安全配置策略
ITYangs的博客
01-14 8580
近期服务器频繁有被暴力破解,大致分析了一下入侵行为,整理了常用的安全策略: 最小的权限+最少的服务=最大的安全 1. 修改ssh默认连接22端口 和 添加火墙firewalld 通过端口步骤:1) 修改ssh的默认端口22:vi /etc/ssh/sshd_config2)让火墙通过这个端口firewall-cmd --state【firewalld是否运行】 firewall-cmd --
CentOS6.5下的用户密码策略
weixin_33918114的博客
11-22 2918
这篇博客记录CentOS6怎么限制密码使用的长度、复杂度,过期时间。目的是止用户使用弱密码,强制用户设置强密码。Linux的用户密码是一大安全因素。如果你使用弱密码,极有可能会被人暴力破解。很多系统的安全问题都是由于使用弱密码引起的。做为系统管理员,你应使用复杂的强密码。1、修改密码复杂度不知从何讲起,直接贴配置文件吧配置文件:/etc/pam.d/system-auth...
CentOS 6.5 最新可用的 Yum 源
最新发布
02-02
CentOS 6.5 的 软件源很多官方已经停止维护,该文件包内配置好的yum源是可以正常使用的。将原/etc/yum.repos.d/目录下原来的 .repo 备份, 然后把本文件包内的repo文件复制过去, yum clean all 后,再 yum ...
centos6.5通过yum安装nginx
09-15
主要为大家详细介绍了centos6.5通过yum安装nginx的相关步骤,linux安装nginx以及配置,具有一定的参考价值,感兴趣的小伙伴们可以参考一下
Centos6.5下安装Oracle 11g.docx
10-31
Centos6.5下安装Oracle 11g.docxCentos6.5下安装Oracle 11g.docx
centos6.5 rpm安装yum工具
12-15
解压资源后进入资源目录,运行命令rpm -ivh,需要安装的包有yum-plugin-fastestmirror-1.1.30-14.el6.noarch yum-plugin-security-1.1.30-14.el6.noarch yum-metadata-parser-1.1.2-...yum-3.2.29-40.el6.centos.noarch
SSH登陆后,如果长时间没有响应则自动LOGOUT的设置
haofeifei的专栏
03-04 8848
操作系统:Red Hat   SSH登陆后,如果长时间没有响应则自动LOGOUT的设置如下,其时非常简单: 1)vi /etc/profile,编辑profile文件,在最后面添加如下行: export TMOUT=60 注:TMOUT是一个控制超时的环境变量,此处设置为60秒无响应,就会自动LOGOUT 2)使用SecureCRT工具登陆进行测试,60秒无操作会自动LOGOUT,如
Linux使用PAM锁定多次登陆失败的用户(含重置错误次数)
热门推荐
新路的专栏
05-22 5万+
修改如下文件 /etc/pam.d/sshd    (远程ssh) /etc/pam.d/login    (终端) 在第一行下即#%PAM-1.0的下面添加: auth    required    pam_tally2.so    deny=3    unlock_time=600 even_deny_root root_unlock_time=1200 各参数解释: ev
Linux之auto-logout设置
Quincy.Coder的博客
06-13 4163
vim /etc/profile,编辑profile文件,在最后面添加如下行: export TMOUT=60 timed out waiting for input: auto-logout
CentOS 6.5 安全加固
weixin_34075268的博客
04-09 290
CentOS 6.5安全加固及性能优化我们可以通过调整系统参数来提高系统内存、CPU、内核资源的占用,通过禁用不必要的服务、端口,来提高系统的安全性,更好的发挥系统的可用性。通过自己对Linux了解,对系统调优做了如下小结。说明:经常玩Linux系统的朋友多多少少也知道些系统参数优化和怎样增强系统安全性,系统默认的一些参数都是比较保守的,所以我们可以通过调整系统参数来提高系统...
centos7设置输入密码三次错误锁定账号
weixin_34377065的博客
11-14 3985
1、限制用户远程登录 在#%PAM-1.0的下面,即第二行,添加内容,一定要写在前面,如果写在后面,虽然用户被锁定,但是只要用户输入正确的密码,还是可以登录的! # vim /etc/pam.d/sshd #%PAM-1.0 authrequiredpam_tally2.sodeny=3unlock_time=300even_deny_r...
linux用户解锁pam_tally,多次登录失败用户被锁定及使用Pam_Tally2解锁
weixin_30979229的博客
04-28 6884
在linux系统中,用户多次登录失败会被锁定,一段时间内将不能再登录系统,这是一般会用到Pam_Tally2进行账户解锁。了解PAMLinux-PAM (Pluggable Authentication Modules for Linux)可插拔认证模块。Linux-PAM是一套适用于Linux的身份验证共享库系统,它为系统中的应用程序或服务提供动态身份验证模块支持。在Linux中,PAM是可动态...
通用 CentOS 6 服务器安全配置指南
weixin_34080951的博客
02-03 334
Linux 是一个开放式系统,可以在网络上找到许多现成的程序和工具,这既方便了用户,也方便了黑客,因为他们也能很容易地找到程序和工具来潜入 Linux 系统,或者盗取 Linux 系统上的重要信息。不过,只要我们仔细地设定 Linux 的各种系统功能,并且加上必要的安全措施,就能让黑客们无机可乘。一般来说,对 Linux 系统的安全设定包...
Linux检查安全策略
梵法利亚的博客
07-29 3066
一 检查系统中是否存在UID与root帐户相同的帐户 注意:如相同将具备与root同等权限,请尽快修改或删除其他帐户 理论依据: 任何UID为0的帐户都具有系统上的超级用户特权,只有root账号的uid才能为0 检查步骤 执行以下命令查看系统中uid为0的账号 /bin/cat /etc/passwd | /bin/awk -F: '($3 == 0) { print $1 }' 合规标准 除root外无其他uid为0的账号则合规,否则不合规。 加固方案 1、执行备份 #cp –p /etc/pas
CentOS6 主机安全加固策略
VincentQB的博客
04-24 3901
简单说明 讨厌做安全加固!讨厌做安全加固!讨厌做安全加固! 然后花了将近两天时间整理实验了最近几年做过的安全加固项 还有很多可以做的安全加固项没有整理出来,以后逐步添加吧… 本篇博文是为了应付检查的加固项汇集,关键词是应付检查 系统密码相关的加固策略 1° 系统密码加固策略: cp -av /etc/login.defs{,.source} # 原文件备份 sed -i 's...
centos6.5克隆之后的网卡设置
05-05
当你克隆CentOS 6.5后,可能会遇到一些网络配置问题,因为克隆后的虚拟机会带有之前的网络配置信息。 以下是一些可能需要修改的设置: 1. 修改 MAC 地址:在 /etc/sysconfig/network-scripts/ifcfg-eth0 文件中,将 HWADDR 的值修改为新的 MAC 地址。 2. 修改 IP 地址:在 /etc/sysconfig/network-scripts/ifcfg-eth0 文件中,将 IPADDR 和 NETMASK 的值修改为新的 IP 地址和子网掩码。 3. 修改网关:在 /etc/sysconfig/network 文件中,将 GATEWAY 的值修改为新的网关地址。 4. 修改 DNS:在 /etc/resolv.conf 文件中,将 nameserver 的值修改为新的 DNS 地址。 修改完成后,重启网络服务以使修改生效: ``` service network restart ``` 如果你使用的是静态 IP 地址,还需要确保该 IP 地址没有被其他设备占用,否则可能会导致网络冲突。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值