关于Linux账号安全问题

admin

控制系统账户
系统账户默认存放在cat /etc/passwd中，你可以手动查询用户信息，我们直接除了Root账户需要登录以外，其他的账户全部设置为禁止登录。

使用 passwd -l 用户名 锁定用户登录，如下我们写BASH脚本批量的完成这个过程。

修改口令生存期
口令生存期，即用户密码的过期时间，默认在cat /etc/login.defs | grep "PASS" 中存储着，我们需要把这个时间改小，如下配置即可。

 [zxsq-anti-bbcode-root@localhost ~]# vim /etc/login.defs



# Password aging controls:

#

#       PASS_MAX_DAYS   Maximum number of days a password may be used.

#       PASS_MIN_DAYS   Minimum number of days allowed between password changes.

#       PASS_MIN_LEN    Minimum acceptable password length.

#       PASS_WARN_AGE   Number of days warning given before a password expires.

#

PASS_MAX_DAYS   90      # 新建用户密码最长使用天数

PASS_MIN_DAYS   0       # 新建用户密码最短使用天数

PASS_MIN_LEN    7       # 新建用户密码到期提示天数

PASS_WARN_AGE   10      # 最小密码长度

设置口令复杂度：
设置新建用户时输入的口令复杂程度，该配置默认在cat /etc/pam.d/system-auth 文件中存放。

 [zxsq-anti-bbcode-root@localhost ~]# vim /etc/pam.d/system-auth



password    required pam_cracklib.so try_first_pass retry=3 dcredit=-1 lcredit=-1 ucredit=-1 ocredit=-1 minlen=10

在上方文件中添加如下一行配置，其含义是至少包含一个数字、一个小写字母、一个大写字母、一个特殊字符、且密码长度>=10

限制登录超时
限制用户登陆成功后的等待时间，当用户终端无操作时则默认断开连接。

 [zxsq-anti-bbcode-root@localhost ~]# vim /etc/profile



TMOUT=300

export TMOUT

限制TTY尝试次数： 该配置可以有效的防止，爆破登录情况的发生，其配置文件在cat /etc/pam.d/login中添加如下配置，这个方法只是限制用户从TTY终端登录，而没有限制远程登录

 [zxsq-anti-bbcode-root@localhost ~]# vim /etc/pam.d/login



#%PAM-1.0

auth required  pam_tally2.so deny=3 lock_time=300 even_deny_root root_unlock_time=10



[zxsq-anti-bbcode-root@localhost ~]# pam_tally2 --user lyshark    查询远程登录次数

修改SSH远程端口：
修改SSH登录端口，这里可以修改为65534等高位端口，因为Nmap扫描器默认也就探测0-1024端口，这样能够有效的规避扫描。

 [zxsq-anti-bbcode-root@localhost ~]# vim /etc/ssh/sshd_config



# If you want to change the port on a SELinux system, you have to tell

# SELinux about this change.

# semanage port -a -t ssh_port_t -p tcp #PORTNUMBER

#

Port 65534               # 登录端口改为65534

MaxAuthTries=3           # 密码最大尝试次数3



[zxsq-anti-bbcode-root@localhost ~]# systemctl restart sshd

libo

谢谢分享，希望在分享些关于Linux方面的知识！