1 删除默认是账户和组
安装Linux系统后会有很多默认的账号和组,如果不使用的话,就删除这些么系统默认不使用的帐号,包括:lp、mail、games、ftp、nobody、postfix等。删除系统默认不使用的组,包括:mail、games、ftp、nobody、postfix等
2.启动密码策略,修改 /etc/login.defs来实现
PASS_MAX_DAYS 60 #密码60天过期
PASS_MIN_DAYS 1 #修改密码最小间隔为1天
PASS_MIN_LEN 8 #最短密码要求8位
PASS_WARN_AGE 7 #密码过期前7天内通知用户
修改密码的命令: passwd root 需要输入两次密码,普通用户需要输入一次旧密码,在输入两次确认密码
3 设置输入密码错误的次数
续3次输入密码错误,锁定5分钟,主要防黑客爆破,修改配置文件/etc/pam.d/system-auth
auth required pam_env.so
auth required pam_tally2.so deny=3 unlock_time=300
4 五分钟无操作的不活动用户自动断开ssh链接
vi /etc/profile,在末尾加入以下内容:
TMOUT=300 # 单位/秒
5 关闭root用户远程登录
使用root权限 vi /etc/ssh/sshd_config,具体配置自己找下面三句,有#注释就把#注释去掉,然后eq保存
Protocol 2 #只使用协议版本2
PermitRootLogin no #禁止root登录
PermitEmptyPasswords no #禁止空口令登录
6 定期更新系统
yum -y update #升级所有包同时也升级软件和系统内核
yum -y upgrade #只升级所有包,不升级软件和系统内核
7 防火墙配置
(1).首先切换成root用户,备份防火墙配置
cp /etc/sysconfig/iptables /etc/sysconfig/iptablesbak
(2.修改防火墙配置
vi /etc/sysconfig/iptables
(3).入以下规则
-A INPUT -p tcp -m state --state NEW -m tcp --dport 8080 -j ACCEPT 允许访问指定端口
-A INPUT -p tcp -m state --state NEW -m tcp --dport 80 -j ACCEPT 允许访问通过指定端口
-A INPUT -p tcp -m state --state NEW -m tcp --dport 3306 -j ACCEPT 允许访问通过指定端口