版權聲明:本文為博主原創文章,支持原創,轉載請附上原文出處鏈接和本聲明。
本文地址:https://www.cnblogs.com/wannengachao/p/12068256.html
1、文件上 i 鎖:
## 上鎖后所有用戶包括root用戶都將無法對此文件進行刪除、cp、mv,若想進行操作需先解鎖
上鎖:
chattr +i 文件名字
遞歸上鎖 chattr -R +i 文件名字
## 當用戶文件(etc/passwd、/etc/shadow)被上鎖后是無法修改用戶密碼的,需要解鎖后修改,否則修改密碼時會報錯:驗證錯誤
驗證是否上鎖:
lsattr 文件名字 顯示i為上鎖狀態
lsattr -R 文件名字 遞歸驗證
解鎖:
chattr -i 文件明
chattr -R -i 文件名 遞歸解鎖
2、ssh黑白名單
白名單:/etc/hosts.allow
vi /etc/hosts.allow
sshd:196.13.2.25 #允許此IP登陸訪問
sshd:8. #允許IP為8開頭的所有服務器
黑名單:/etc/hosts.deny
vi /etc/hosts.deny
sshd:196.13.2.25 # 拒絕此IP
sshd:all # 拒絕全部
3、修改ssh端口
修改vi /etc/ssh/sshd_config文件
修改內容:#Port 22
將#刪除 修改22為其它端口
4、限制登陸失敗次數
防止暴力破解密碼
修改 /etc/pam.d/sshd 文件,文件增加內容:
auth required pam_tally2.so deny=3 unlock_time=150 even_deny_root root_unlock_time600
表示當密碼輸入錯誤達到3次,就鎖定用戶150秒,如果root用戶輸入密碼錯誤達到3次,鎖定600秒。鎖定后即使密碼輸入正確也無法登陸
### 可使用命令 pam_tally2 查看所有當前因失敗次數達到限制被鎖定的用戶
### pam_tally2 --reset -u $username 將被鎖定的用戶解鎖,$username寫為想要解鎖的用戶
5、限制用戶登陸
vi /etc/hosts.deny,若禁止192.168.10.19對服務器進行ssh的登陸,添加如下內容:
sshd : 192.168.0.1
6、文件目錄權限
用戶登陸中重要的三個文件:
/etc/shadow 只有root可讀 –r-------- 權限值為400
/etc/passwd 必須設置為所有用戶可讀,root用戶可寫 –rw-r—r— 權限值為644
/etc/group 必須設置為所有用戶可讀,root用戶可寫 –rw-r—r— 權限值為644
7、設置密碼策略
修改 /etc/login.defs 配置文件
PASS_MAX_DAYS 70 密碼最長有效期
PASS_MIN_DAYS 5 密碼修改之間最小的天數
PASS_MIN_LEN 8 密碼長度
PASS_WARN_AGE 4 口令失效前多少天開始通知用戶修改密碼
8、用戶缺省權限控制
修改 /etc/profile
在文件末尾增加一條行:umask027
umask值應為027或更小權限
9、預防Flood攻擊
在/etc/sysctl.conf文件中添加 net.ipv4.tcp_syncookies = 1
10、禁止root用戶遠程登陸
修改vi /etc/ssh/sshd_config文件
修改內容:#PermitRootLogin yes
將#刪除 將yes改為no,ssh默認是允許root用戶遠程登陸,改為no禁止使用root遠程登陸
11、禁ping
echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_all 開啟禁ping
echo 0 > /proc/sys/net/ipv4/icmp_echo_ignore_all 關閉禁ping
禁ping后如果此服務器上有dns服務,域名也會被禁ping。