1、用戶權限配置文件的權限優化
描述:設置用戶權限配置文件的權限
操作時建議做好記錄或備份
chown root:root /etc/passwd /etc/shadow /etc/group /etc/gshadow
chmod 0644 /etc/group
chmod 0644 /etc/passwd
chmod 0400 /etc/shadow
chmod 0400 /etc/gshadow
cat /etc/passwd | awk -F: '($3 == 0) { print $1 }'|grep -v '^root$' #查看root的id=0的唯一性
2、ssh服務優化
編輯/etc/ssh/sshd_config文件,修改以下參數:
LogLevel INFO #確保SSH LogLevel設置為INFO,記錄登錄和注銷活動
#將ClientAliveInterval 設置為300到900,即5-15分鍾,將ClientAliveCountMax設置為0。
ClientAliveInterval 900 #設置SSH空閑超時退出時間,可降低未授權用戶訪問其他用戶ssh會話的風險
ClientAliveCountMax 0
Protocol 2 #SSHD強制使用V2安全協議
MaxAuthTries 4 #設置較低的Max AuthTrimes參數將降低SSH服務器被暴力攻擊成功的風險。設置最大密碼 嘗試失敗次數3-6,建議為4
PermitEmptyPasswords no #禁止SSH空密碼用戶登錄
3、身份鑒別優化
編輯/etc/login.defs文件,修改以下參數:
PASS_MIN_DAYS 7 #設置密碼修改最小間隔時間,限制密碼更改過於頻繁
PASS_MAX_DAYS 90 #設置密碼失效時間
#參數1注解:在 /etc/login.defs 中將 PASS_MIN_DAYS 參數設置為7-14之間,建議為7: PASS_MIN_DAYS 7 需同時執行命令為root用戶設置: chage --mindays 7 root
#參數2注解:設置密碼失效時間,強制定期修改密碼,減少密碼被泄漏和猜測風險,使用非密碼登陸方式(如密鑰對)請忽略此項。
#使用非密碼登陸方式如密鑰對,請忽略此項。在 /etc/login.defs 中將 PASS_MAX_DAYS 參數設置為 60-180之間,如 PASS_MAX_DAYS 90。需同時執行命令設置root密碼失效時間: chage --maxdays 90 root。