搜索
查看: 1556|回复: 1

关于Linux账号安全问题

  [复制链接]

675

主题

987

帖子

2492

积分

管理员

本论坛第一帅

Rank: 9Rank: 9Rank: 9

积分
2492

热心会员推广达人宣传达人突出贡献优秀版主荣誉管理论坛元老

QQ
发表于 2021-6-7 11:02:38 | 显示全部楼层 |阅读模式

控制系统账户
系统账户默认存放在cat /etc/passwd中,你可以手动查询用户信息,我们直接除了Root账户需要登录以外,其他的账户全部设置为禁止登录。

使用 passwd -l 用户名 锁定用户登录,如下我们写BASH脚本批量的完成这个过程。

修改口令生存期
口令生存期,即用户密码的过期时间,默认在cat /etc/login.defs | grep "PASS" 中存储着,我们需要把这个时间改小,如下配置即可。
 [zxsq-anti-bbcode-root@localhost ~]# vim /etc/login.defs

# Password aging controls:
#
#       PASS_MAX_DAYS   Maximum number of days a password may be used.
#       PASS_MIN_DAYS   Minimum number of days allowed between password changes.
#       PASS_MIN_LEN    Minimum acceptable password length.
#       PASS_WARN_AGE   Number of days warning given before a password expires.
#
PASS_MAX_DAYS   90      # 新建用户密码最长使用天数
PASS_MIN_DAYS   0       # 新建用户密码最短使用天数
PASS_MIN_LEN    7       # 新建用户密码到期提示天数
PASS_WARN_AGE   10      # 最小密码长度

设置口令复杂度:
设置新建用户时输入的口令复杂程度,该配置默认在cat /etc/pam.d/system-auth 文件中存放。
 [zxsq-anti-bbcode-root@localhost ~]# vim /etc/pam.d/system-auth

password    required pam_cracklib.so try_first_pass retry=3 dcredit=-1 lcredit=-1 ucredit=-1 ocredit=-1 minlen=10

在上方文件中添加如下一行配置,其含义是至少包含一个数字、一个小写字母、一个大写字母、一个特殊字符、且密码长度>=10

限制登录超时
限制用户登陆成功后的等待时间,当用户终端无操作时则默认断开连接。
 [zxsq-anti-bbcode-root@localhost ~]# vim /etc/profile

TMOUT=300
export TMOUT

限制TTY尝试次数: 该配置可以有效的防止,爆破登录情况的发生,其配置文件在cat /etc/pam.d/login中添加如下配置,这个方法只是限制用户从TTY终端登录,而没有 限制远程登录
 [zxsq-anti-bbcode-root@localhost ~]# vim /etc/pam.d/login

#%PAM-1.0
auth required  pam_tally2.so deny=3 lock_time=300 even_deny_root root_unlock_time=10

[zxsq-anti-bbcode-root@localhost ~]# pam_tally2 --user lyshark    查询远程登录次数

修改SSH远程端口:
修改SSH登录端口,这里可以修改为65534等高位端口,因为Nmap扫描器默认也就探测0-1024端口,这样能够有效的规避扫描。
 [zxsq-anti-bbcode-root@localhost ~]# vim /etc/ssh/sshd_config

# If you want to change the port on a SELinux system, you have to tell
# SELinux about this change.
# semanage port -a -t ssh_port_t -p tcp #PORTNUMBER
#
Port 65534               # 登录端口改为65534
MaxAuthTries=3           # 密码最大尝试次数3

[zxsq-anti-bbcode-root@localhost ~]# systemctl restart sshd


有志者,事竟成,破釜沉舟,百二秦关终属楚. 苦心人,天不负, 卧薪尝胆 ,三千越甲可吞吴
回复

使用道具 举报

317

主题

476

帖子

1012

积分

vip用户

Rank: 6Rank: 6

积分
1012

注册会员活跃会员热心会员

QQ
发表于 2021-6-7 20:16:52 来自手机 | 显示全部楼层
谢谢分享,希望在分享些关于Linux方面的知识!
回复 支持 反对

使用道具 举报

您需要登录后才可以回帖 登录 | 注册

本版积分规则

快速回复 返回顶部 返回列表