linux安全加固

1、账户登录超时设置

[root@lz ~]# vi /etc/profile
TMOUT=180                          //设置180s超时
export TMOUT                        --全局
[root@lz ~]# source /etc/profile

2、账户密码策略

[root@lz ~]# vim /etc/login.defs
修改下列参数为建议值
PASS_MAX_DAYS 30    #密码有效期为30天
PASS_MIN_DAYS 1     #密码最短修改时间为1天
PASS_MIN_LEN 8      #密码最小长度为8位
PASS_WARN_AGE 7     #密码过期提前7天提示修改

[root@lz ~]# vim /etc/pam.d/system-auth
password requisite pam_cracklib.so行替换成如下：
password  requisite pam_cracklib.so retry=6  difok=3 minlen=12 ucredit=-1 lcredit=-1 dcredit=-1 ocredit=-1
参数	说明
retry	尝试次数
difok	最少不同字符
minlen	最小密码长度
ucredit	最少大写字母
lcredit	最少小写字母
dcredit	最少数字
ocredit	最少特殊符号

口令至少5次内不能重复
#vim /etc/pam.d/system-auth
password    sufficient    pam_unix.so md5 shadow nullok try_first_pass use_authtok remember=5

3、umask设置

umask 的默认设置一般为 022，这给新创建的文件默认权限755（ 777-022=755）
建议umask 设置为027

4、访问限制

vi /etc/hosts.deny
sshd: ALL    #拒绝一切SSH远程访问，配合文件hosts.allow使用
vi /etc/hosts.allow
sshd:192.168.59.1:allow    #允许192.168.59.1通过ssh访问

5、用户登录失败处理策略

5.1 限制本地登录次数，在第二行增加
[root@lz ~]# vim /etc/pam.d/login
auth  required  pam_tally2.so  deny=3  unlock_time=180 even_deny_root root_unlock_time=180

5.2 限制ssh本地登录次数，在第二行增加如下内容：
[root@lz ~]# vim /etc/pam.d/sshd
auth  required  pam_tally2.so  deny=3  unlock_time=180 even_deny_root root_unlock_time=180

5.3 查看用户登录失败的次数
[root@lz ~]# pam_tally2 --user oracle
Login           Failures Latest failure     From
oracle             12    03/15/22 09:30:47  192.168.154.1

5.4、解锁指定用户(用户锁定的表现为密码错误）
# pam_tally2 -r -u root

5.5、上述参数解释
参数	说明
even_deny_root	 也限制root用户
deny	         设置普通用户和root用户连续错误登陆的最大次数，超过最大次数，则锁定该用户
unlock_time	 设定普通用户锁定后，多少时间后解锁，单位是秒
root_unlock_time 设定root用户锁定后，多少时间后解锁，单位是秒

6、设置只允许unionmon用户登录

# vi /etc/ssh/sshd_config
PermitRootLogin no
AllowUsers unionmon

# service sshd restart