Linux帳戶口令生存期策略
-
口令老化(Password aging)是一種增強的系統口令生命期認證機制,能夠確保用戶的口令定期更換,提高系統安全性。
-
http://man7.org/linux/man-pages/man5/login.defs.5.html
-
修改文件/etc/login.defs,配置
PASS_MAX_DAYS 90
Linux配置賬戶登錄失敗鎖定策略
-
設置賬戶登錄失敗鎖定策略,加大用戶口令被暴力破解的難度。
-
http://man7.org/linux/man-pages/man8/pam_tally2.8.html
-
設置連續輸錯5次口令,帳號鎖定5分鍾。
在進行此項安全加固工作前,請先檢查PAM模塊版本,搜索pam_tally2是否存在,如果pam_tally2存在,修改配置文件。【注意: 各系統配置不一,請根據當前系統進行適當配置,並仔細評估對系統的影響】
修復方案(僅供參考,請勿直接配置):
centos
修改配置/etc/pam.d/password-auth(將配置添加到合適的位置):
auth required pam_tally2.so deny=5 unlock_time=300 even_deny_root root_unlock_time=300
account required pam_tally2.so
ubuntu,debian:
修改配置/etc/pam.d/common-auth(將配置添加到合適的位置):
auth required pam_tally2.so deny=5 unlock_time=300 even_deny_root root_unlock_time=300
修改配置/etc/pam.d/common-account參數(將配置添加到合適的位置):
account required pam_tally2.so
Linux帳戶超時自動登出配置
-
配置帳戶超時自動登出,在用戶輸入空閑一段時間后自動斷開。
-
修改/etc/profile文件,設置定時賬戶自動登出時間
export TMOUT=180
限制root權限用戶遠程登錄
-
限制root權限遠程登錄。先以普通權限用戶遠程登錄后,再切換到超級管理員權限賬號后執行相應操作,可以提升系統安全性。
-
1. 修改文件/etc/ssh/sshd_config配置
PermitRootLogin no
2. 重啟sshd服務
限制root登陸FTP
-
限制root用戶登陸FTP。
-
centos:
1. 在文件/etc/vsftpd/ftpusers中增加root用戶
2. 重啟FTP服務
debain, ubuntu:
1. 在文件/etc/ftpusers中增加root用戶
2. 重啟FTP服務
限制匿名FTP
-
限制匿名FTP用戶登錄。
-
centos:
1. 修改配置文件/etc/vsftpd/vsftpd.conf, 配置:
anonymous_enable=NO
2. 重啟FTP服務
debain, ubuntu:
1. 修改配置文件/etc/vsftpd.conf, 配置:
anonymous_enable=NO
2. 重啟FTP服務