1概述- 1 -
1.1适用范围- 1 - 2用户账户安全加固- 1 -
2.1修改用户密码策略- 1 -
2.2锁定或删除系统中与服务运行,运维无关的的用户- 1 - 2.3锁定或删除系统中不使用的组- 2 - 2.4限制密码的最小长度- 2 - 3用户登录安全设置- 3 -
3.1禁止root用户远程登录- 3 - 3.2设置远程ssh登录超时时间- 4 -
3.3设置当用户连续登录失败三次,锁定用户30分钟- 5 - 3.4设置用户不能使用最近五次使用过的密码- 5 - 3.5设置登陆系统账户超时自动退出登陆- 6 - 4系统安全加固- 6 -
4.1关闭系统中与系统正常运行、业务无关的服务- 6 - 4.2禁用“CTRL+ALT+DEL”重启系统- 7 - 4.3加密grub菜单- 7 -
- 1 - / 9
1概述
1.1适用范围
本方案适用于银视通信息科技有限公司linux主机安全加固,供运维人员参考对linux主机进行安全加固。
2用户账户安全加固
2.1修改用户密码策略
(1)修改前备份配置文件:/etc/login.defs
cp /etc/login.defs /etc/login.defs.bak (2)修改编辑配置文件:vi /etc/login.defs,修改如下配置:
PASS_MAX_DAYS 90 (用户的密码不过期最多的天数) PASS_MIN_DAYS 0 (密码修改之间最小的天数) PASS_MIN_LEN 8 (密码最小长度) PASS_WARN_AGE 7 (口令失效前多少天开始通知用户更改密码) (3)回退操作
~]# cp /etc/login.defs.bak /etc/login.defs 2.2锁定或删除系统中与服务运行,运维无关的的用户
(1)查看系统中的用户并确定无用的用户
~]# more /etc/passwd (2)锁定不使用的账户(锁定或删除用户根据自己的需求操作一项即可)
锁定不使用的账户:
- 1 - / 9
~]# usermod -L username 或删除不使用的账户:
~]# userdel -f username (3)回退操作
用户锁定后当使用时可解除锁定,解除锁定命令为:
~]# usermod -U username 2.3锁定或删除系统中不使用的组
(1)操作前备份组配置文件/etc/group
~]# cp /etc/group /etc/group.bak (2)查看系统中的组并确定不使用的组
~]# cat /etc/group (3)删除或锁定不使用的组
锁定不使用的组:
修改组配置文件/etc/group,在不使用的组前加“#”注释掉该组即可 删除不使用的组:
~]# groupdel groupname
(4)回退操作
~]# cp /etc/group.bak /etc/group 2.4限制密码的最小长度
- 2 - / 9
(1)操作前备份组配置文件/etc/pam.d/system-auth
~]# cp /etc/pam.d /etc/pam.d.bak (2)设置密码的最小长度为8
修改配置文件/etc/pam.d,在行”password requisite pam_pwquality.so try_first_pass local_users_only retry=3 authtok_type=”中添加“minlen=8”,或使用sed修改:
~]# sed -i \local_users_only retry=3 authtok_type=#password requisite pam_pwquality.so try_first_pass local_users_only retry=3 minlen=8 authtok_type=#g\(3)回退操作
~]# cp /etc/pam.d.bak /etc/pam.d 3用户登录安全设置
3.1禁止root用户远程登录
(1)修改前备份ssh配置文件/etc/ssh/sshd_conf
~]# cp /etc/ssh/sshd_conf /etc/ssh/sshd_conf.bak (2)修改ssh服务配置文件不允许root用户远程登录
编辑/etc/ssh/sshd_config找到“#PermitRootLogin yes”去掉注释并修改为“PermitRootLogin no”或者使用sed修改,修改命令为:
~]# sed -i \/etc/ssh/sshd_config (3)修改完成后重启ssh服务
Centos6.x为:
- 3 - / 9
相关推荐:
loading