怎么做好Linux系统安全加固之账号安全

发布时间:2021-10-23 15:00:37 作者:小新
来源:亿速云 阅读:260

这篇文章主要介绍怎么做好Linux系统安全加固之账号安全,文中介绍的非常详细,具有一定的参考价值,感兴趣的小伙伴们一定要看完!

1. 设置密码策略

[root@lkjtest ~]# cat /etc/login.defs |grep -v "#" |grep PASS PASS_MAX_DAYS 180 PASS_MIN_DAYS 0 PASS_MIN_LEN 5 PASS_WARN_AGE 7

怎么做好Linux系统安全加固之账号安全

参数说明:

2. 限制用户远程登陆

vim /etc/pam.d/sshd #%PAM-1.0  auth required pam_tally2.so deny=3 unlock_time=300 even_deny_root root_unlock_time=10

怎么做好Linux系统安全加固之账号安全

注意点:添加的内容一定要添加在前面,即“#%PAM-1.0”  之后,如果写在后面,虽然用户被锁定,但只要用户名和密码正确,依然是可以成功登陆进去的。

参数说明:

3. 限制用户从tty登陆

vim /etc/pam.d/login #%PAM-1.0  auth required pam_tally2.so deny=3 lock_time=300 even_deny_root root_unlock_time=10

怎么做好Linux系统安全加固之账号安全

注意点:添加的内容一定要添加在前面,即“#%PAM-1.0”  之后,如果写在后面,虽然用户被锁定,但只要用户名和密码正确,依然是可以成功登陆进去的。

参数说明:

4. 查看用户登陆失败次数

[root@localhost]# pam_tally2 --user root  Login Failures Latest failure From root 0

怎么做好Linux系统安全加固之账号安全

5. 解锁指定用户

[root@localhost ~]# pam_tally2 -r -u root  Login Failures Latest failure From root 0

6. 设置口令复杂度

编辑 /etc/pam.d/system-auth 找到pam_cracklib,在后加一些参数具体如下: [root@lkjtest ~]# cat /etc/pam.d/system-auth |grep cracklib password requisite pam_cracklib.so retry=5 difok=3 minlen=10 ucredit=-1 lcredit=-1 dcredit=-1 ocredit=-1

怎么做好Linux系统安全加固之账号安全

参数说明:

7. 限制su的权限

如果你不想任何人能够用su作为root,可以通过以下限制:

编辑/etc/pam.d/su文件,增加如下两行: auth sufficient pam_rootok.so debug auth required pam_wheel.so group=admin

只有admin组的用户才能su

怎么做好Linux系统安全加固之账号安全

8. 设置用户登陆的时间段

有时为了系统登陆的安全,我们需要限制用户只能在特定的时间段才允许登陆主机,可以通过以下设置。

#vi /etc/pam.d/sshd 添加如下内容: account required pam_time.so # vi /etc/security/time.conf  添加如下内容: sshd;*;admin;!Th3100-2300

怎么做好Linux系统安全加固之账号安全

怎么做好Linux系统安全加固之账号安全

time.conf参数说明:

9. 特别帐号的处理

如果不启动用sendmail,删除如下用户

[root@localhost]# userdel adm [root@localhost]# userdel lp [root@localhost]# userdel sync [root@localhost]# userdel shutdown [root@localhost]# userdel halt [root@localhost]# userdel mail

如果不用X windows服务器.可有删除

[root@localhost]# userdel news [root@localhost]# userdel uucp [root@localhost]# userdel operator [root@localhost]# userdel games

如果不允许匿名FTP帐号登陆,可删除

[root@localhost]# userdel gopher [root@localhost]# userdel ftp

10.设置注销用户的时间及历史命令数

[root@tp ~]# vi /etc/profile ... HOSTNAME=`/bin/hostname` HISTSIZE=1000 //这里1000代表用户操作命令的历史记录,应尽量小一些,设置成0也可以。 tmout=600 //表示如果系统用户在600秒(10分钟)内不做任何操作,将自动注销这个用户.

怎么做好Linux系统安全加固之账号安全

11. 防暴力破解

针对用户的防暴力破解,通常采用以下方法

以上是“怎么做好Linux系统安全加固之账号安全”这篇文章的所有内容,感谢各位的阅读!希望分享的内容对大家有帮助,更多相关知识,欢迎关注亿速云行业资讯频道!

推荐阅读:
  1. 保证Linux系统安全——账号管理
  2. Centos7系统安全及应用(一)账号安全

免责声明:本站发布的内容(图片、视频和文字)以原创、转载和分享为主,文章观点不代表本网站立场,如果涉及侵权请联系站长邮箱:is@yisu.com进行举报,并提供相关证据,一经查实,将立刻删除涉嫌侵权内容。

linux

上一篇:如何使用公钥/私钥对设定免密的Linux登录方式

下一篇:Windows 10任务栏怎么显示

相关阅读

您好,登录后才能下订单哦!

密码登录
登录注册
其他方式登录
点击 登录注册 即表示同意《亿速云用户服务条款》