一、 Linux安全設置
1、口令長度限制
設定用戶默認密碼長度不小於10位(數字、字母、特殊字符) 說明:該限制只是警告提示,不是強制要求
- 檢查項:設置用戶密碼最小長度
加固建議:在/etc/security/pwquality.conf中取消minlen注釋符號#,同時設置最小密碼長度建議10位以上 - 檢查項:設置用戶密碼數字位數
加固建議:在/etc/security/pwquality.conf中取消dcredit注釋符號#,同時設置為負數建議-1最少包含1位數字 - 檢查項:設置用戶密碼小寫字母位數
加固建議:在/etc/security/pwquality.conf中取消lcredit注釋符號#,同時設置為負數建議-1最少包含1位小寫字母 - 檢查項:設置用戶密碼特殊字符位數
加固建議:在/etc/security/pwquality.conf中取消ocredit注釋符號#,同時設置為負數建議-1最少包含1位特殊字符
2、 登錄失敗鎖定
設定用戶登錄超時退出,普通用戶登錄失敗超過5次鎖定1800s.
l tty登錄限制,普通用戶登錄失敗5分鍾后鎖定300s,root鎖定1800s
echo " auth required pam_tally2.so deny=5 unlock_time=300 even_deny_root root_unlock_time=1800" >>/etc/pam.d/login
l ssh登錄限制,普通用戶登錄失敗5分鍾后鎖定300s,root鎖定1800s
echo " auth required pam_tally2.so deny=5 unlock_time=300 even_deny_root root_unlock_time=1800" >>/etc/pam.d/sshd
3、 設置tty登錄超時自動退出
/etc/profile 中新增
TMOUT=600
設置bash命令保留的歷史條數為10條(系統默認是1K)
/etc/profile 中HISTSIZE改成10
https://blog.csdn.net/dbvasp/article/details/78717445
4、 ssh安全性配置
內置一個普通用戶user,該用戶的口令與root口令不一樣
useradd user
passwd user
禁止SSH root登錄 /etc/ssh/sshd_config
PermitRootLogin no
修改ssh的端口
Port 50060
禁止SSH空密碼登錄
PermitEmptyPasswords no
開啟SSH 警告標語,提高安全意識。補充:該提示支持自定義
banner /etc/issue
設置ssh連接超時退出
ClientAliveInterval 60 每隔60秒向客戶端發送一個“空包”,以保持於客戶端的連接
ClientAliveCountMax 10 總共發送10次“空包”,之后斷開它們之間的連接
配置生效需要重啟sshd服務,systemctl restart sshd
linux上遠程的命令是 ssh -p 50060 user@192.168.12.25
本地遠程命令是 ssh user@192.168.12.15 50060
4、禁止USB外設
echo "install usb-storage /bin/false" > /etc/modprobe.d/usb-storage.conf
https://blog.csdn.net/F8qG7f9YD02Pe/article/details/78817166
不妨礙鍵盤鼠標的使用
5、配置惡意軟件防范策略
安裝iptables服務
rpm -ivh iptables-services-1.4.21-24.el7.x86_64.rpm
開啟iptables
systemctl enable iptables && systemctl start iptables
systemctl stop firewalld && systemctl disable firewalld