由于Linux操作系统是开源免费的操作系统,受到越来越多用户的欢迎。对于在线服务,用户最关心的是系统的安全性,这直接影响到服务的安全性。系统安全设置是一个多维度的问题。下面小编将从Linux账号安全的角度来给大家分享一些常用的Linux安全加固技巧。1.设置密码策略[root@lkjtest~]#cat/etc/login.defs|grep-v"#"|grepPASSPASS_MAX_DAYS180PASS_MIN_DAYS0PASS_MIN_LEN5PASS_WARN_AGE7参数说明:PASSMAXDAYS:设置密码有效期PASSMINDAYS:密码最小更改日期PASSMINLEN:密码最小长度PASSWARNAAGE:密码过期前的天数,提前警告2.限制用户远程登录vim/etc/pam.d/sshd#%PAM-1.0authrequiredpam_tally2.sodeny=3unlock_time=300even_deny_rootroot_unlock_time=10注意:添加的内容一定要加在前面,也就是在“#%PAM-1.0”之后,如果写在后面,虽然用户被锁定了,但只要用户名和密码正确,他们仍然可以成功登录。参数说明:evendenyroot:root用户也被限制。deny:设置普通用户和root用户连续误登录的次数。如果超过该数量,用户将被锁定。unlock_time:普通用户被锁定后需要多长时间才能解锁,单位秒。rootunlocktime:root用户被锁定后,需要多长时间解锁,单位秒。3.限制用户从tty登录vim/etc/pam.d/login#%PAM-1.0authrequiredpam_tally2.sodeny=3lock_time=300even_deny_rootroot_unlock_time=10注意:添加的内容一定要加在前面,即"#%PAM-1.0”之后,如果写在后面,虽然用户被锁定,但只要用户名和密码正确,还是可以登录成功的。参数说明:evendenyroot:root用户也被限制。deny:设置普通用户和root用户连续误登录的次数。如果超过该数量,用户将被锁定。unlock_time:普通用户被锁定后需要多长时间才能解锁,单位秒。rootunlocktime:root用户被锁定后,需要多长时间解锁,单位秒。4、查看用户登录失败次数[root@localhost]#pam_tally2--userrootLoginFailuresLatestfailureFromroot05。解锁指定用户[root@localhost~]#pam_tally2-r-urootLoginFailuresLatestfailureFromroot06。设置密码复杂度编辑/etc/pam.d/system-auth找到pam_cracklib,在后面添加一些参数:[root@lkjtest~]#cat/etc/pam.d/system-auth|grepcracklibpasswordrequisitepam_cracklib.soretry=5difok=3minlen=10ucredit=-1lcredit=-1dcredit=-1ocredit=-1参数说明:retry=5:表示允许输入5次difok=3:新旧密码相差3次minlen=10:密码长度至少为10个字符ucredit=-1:至少一个大写字母lcredit=-1:至少一个小写字母dcredit=-1:至少一个数字ocredit=-1:至少一个其他字符7.限制su的权限如果不想让任何人都可以root使用su,可以通过以下限制:编辑/etc/pam.d/su文件,添加如下两行:authsufficientpam_rootok.sodebugauthrequiredpam_wheel.sogroup=admin只有admin组的用户可以su8。设置用户登录的时间段有时为了系统登录的安全,我们需要限制用户只能在特定的时间段内登录主机,可以通过如下设置。#vi/etc/pam.d/sshd添加以下内容:accountrequiredpam_time.so#vi/etc/security/time.conf添加以下内容:sshd;*;admin;!Th2100-2300time.conf参数说明:sshd:meansonlyRestrictionsonsshprograms*:表示任意终端,也可以指定终端如tty1,tty2等不启动sendmail,删除下面的user[root@localhost]#userdeladm[root@localhost]#userdellp[root@localhost]#userdelsync[root@localhost]#userdelshutdown[root@localhost]#userdelhalt[root@localhost]#userdelmail如果不用Xwindowsserver,可以删除[root@localhost]#userdelnews[root@localhost]#userdeluucp[root@localhost]#userdeloperator[root@localhost]#userdelgames如果不允许匿名FTP账号登录,可以删除[root@localhost]#userdelgopher[root@localhost]#userdelftp10。设置注销时间和历史命令条数[root@tp~]#vi/etc/profile...HOSTNAME=`/bin/hostname`HISTSIZE=1000//这里1000代表用户操作命令的历史,应该越小越好,可以设置为0。tmout=600//表示如果系统用户在600秒(10分钟)内没有进行任何操作,则自动注销该用户。11、防暴力破解对于用户的防暴力破解,通常会使用到以下方法hostDenyHosts:本软件具体使用方法请参考官方文档。编写脚本查看/var/log/secure访问日志文件:通过统计日志文件中登录失败的ip,将达到阈值的ip添加到/etc/hosts.deny中,拒绝某个用户的再次访问知识产权。
