1. 设置/etc/rc.d/init.d/目录下文件许可权限

chmod -R 700 /etc/rc.d/init.d/

仅仅root可以读,写,执行上述所有script file.

2. 增加不可更改属性

chattr +i /etc/passwd
chattr +i /etc/shadow
chattr +i /etc/group

3. 修改 /etc/login.defs 配置文件

PASS_MAX_DAYS 90 密码最长有效期
PASS_MIN_DAYS 10 密码修改之间最小的天数
PASS_MIN_LEN 8 密码长度
PASS_WARN_AGE 7 口令失效前多少天开始通知用户修改密码

4. 登陆次数限制

vi /etc/pam.d/sshd

在#%PAM-1.0下加入

auth required pam_tally2.so deny=3 unlock_time=150 even_deny_root root_unlock_time300

当普通用户密码输入错误达到3次,就锁定用户150秒,如果root用户输入密码错误达到3次,锁定300秒
pam_tally2 查看被锁定的用户
pam_tally2 --reset -u username 将被锁定的用户解锁

5. 设置历史命令保存条数和账户超时时间

vi /etc/profile

添加:

HISTSIZE=100 存储历史条目
TMOUT=600 账户自动注销时间

6. 更改ssh默认连接端口

vi /etc/ssh/sshd_config

将#Port 22注释去掉,然后修改端口

7. 设置用户登录日志

vi /etc/login.defs

加入LASTLOG_ENAB yes

last #查看记录
正文到此结束

本文标题:Linux安全加固配置

本文链接:https://www.hantaosec.com/1204.html

除非另有说明,本作品采用知识共享署名-非商业性使用-相同方式共享 4.0 国际许可协议

声明:转载请注明文章来源及链接,不带链接禁止任何转载!访问任何网络安全相关文章,则视为默认接受网络安全文章免责声明 ,请认真阅读。

© 本文为原创文章,允许规范转载
喜欢我的文章吗?
别忘了点赞或赞赏,让我知道创作的路上有你陪伴。