标签:sbin sshd 企业级 etc chattr Linux 服务器 root localhost
Linux 服务器企业级安全加固
1. 锁定不必要的用户
# 使用passwd -l 锁定不必要的账号,这里是把除了root以外所有的账号都锁定
#!/bin/bash
for temp in cut -d ":" -f 1 /etc/passwd | grep -v "root";do
passwd -l $temp
done
2. 修改密码过期时间
vim /etc/login.defs
PASS_MAX_DAYS 90 # 新建用户密.码最长使用天数
PASS_MIN_DAYS 0 # 新建用户密.码最短使用天数
PASS_MIN_LEN 7 # 新建用户密.码到期提示天数
PASS_WARN_AGE 10 # 最小密.码长度
3. 设置密码复杂度
# 复杂程度至少一个大写字母、一个小写字母、一个特殊符号,且长度至少为10位
[root@localhost ~]# vim /etc/pam.d/system-auth
password required pam_cracklib.so try_first_pass retry=3 dcredit=-1 lcredit=-1 ucredit=-1 ocredit=-1 minlen=10
4. 限制登录超时
# 超时时间为5分钟,5分钟没有动作自动注销登录
vim /etc/profile
TMOUT=300
export TMOUT
5. 限制错误登录次数
[root@localhost ~]# vim /etc/pam.d/login
#%PAM-1.0
auth required pam_tally2.so deny=3 lock_time=300 even_deny_root root_unlock_time=10
查询远程登录次数
pam_tally2 --user 用户
6. 创建普通用户,并且授予sudo权限
useradd test;echo 123|passwd --stdin test
vim /etc/sudoers
test ALL=(ALL) ALL
7. 禁止root远程登录
vim /etc/ssh/sshd_config
PermitRootLogin no
systemctl restart sshd
8. 修改root默认端口
vim /etc/ssh/sshd_config
Port 22222 # 修改登录端口
MaxAuthTries=3 # 密码最大尝试次数3
systemctl restart sshd
9. 限制允许ssh远程的IP
vi /etc/hosts.allow
sshd:192.168.220.1 #允许单个IP
sshd:192.168.220. #允许地址段
vi /etc/hosts.deny
sshd:ALL #除了上面允许的其他都拒绝
10. 锁定系统文件
[root@localhost sbin]# chattr +i /sbin/
[root@localhost sbin]# chattr +i /usr/sbin/
[root@localhost sbin]# chattr +i /bin/
[root@localhost sbin]# chattr +i /sbin/
[root@localhost sbin]# chattr +i /usr/lib
[root@localhost sbin]# chattr +i /usr/lib64
[root@localhost sbin]# chattr +i /usr/libexec
标签:sbin,
sshd,
企业级,
etc,
chattr,
Linux,
服务器,
root,
localhost
From: https://www.cnblogs.com/lzexin/p/17844987.html