请注意,本文编写于 1837 天前,最后修改于 367 天前,其中某些信息可能已经过时。
1. 设置/etc/rc.d/init.d/目录下文件许可权限
chmod -R 700 /etc/rc.d/init.d/
仅仅root可以读,写,执行上述所有script file.
2. 增加不可更改属性
chattr +i /etc/passwd
chattr +i /etc/shadow
chattr +i /etc/group
3. 修改 /etc/login.defs 配置文件
PASS_MAX_DAYS 90 密码最长有效期
PASS_MIN_DAYS 10 密码修改之间最小的天数
PASS_MIN_LEN 8 密码长度
PASS_WARN_AGE 7 口令失效前多少天开始通知用户修改密码
4. 登陆次数限制
vi /etc/pam.d/sshd
在#%PAM-1.0下加入
auth required pam_tally2.so deny=3 unlock_time=150 even_deny_root root_unlock_time300
当普通用户密码输入错误达到3次,就锁定用户150秒,如果root用户输入密码错误达到3次,锁定300秒
pam_tally2 查看被锁定的用户
pam_tally2 --reset -u username 将被锁定的用户解锁
5. 设置历史命令保存条数和账户超时时间
vi /etc/profile
添加:
HISTSIZE=100 存储历史条目
TMOUT=600 账户自动注销时间
6. 更改ssh默认连接端口
vi /etc/ssh/sshd_config
将#Port 22注释去掉,然后修改端口
7. 设置用户登录日志
vi /etc/login.defs
加入LASTLOG_ENAB yes
last #查看记录
2 条评论
挺好
峰峰来了,欢迎