服务端进行安全加固

一、在两个配置文件中指定位置各添加两行内容。后建立普通测试用户

Vim /etc/pam.d/system-auth修改系统认证的模块文件

Auth required  pam_tally2.so deny=3 unlock_time=180

Account required  pam_tally2.so

 

Vim /etc/pam.d/password-auth

Auth required  pam_tally2.so deny=3 unlock_time=180

Account required pam_tally2.so

Useradd testuser && echo “simple” | passwd –-stdin testuser

 

密码强度的设定，要求用户口令长度至少为8位，并包括数字、大小写字母

Vim /etc/pam_d/system-auth

Password requisite pam_cracklib.so try_first_pass retry=3 type= difock minlen=8 ucredit=-1 dcredit=-1

Type= 此选项用来修改默认的密码提示文本

Difock= 此选项用来定义新密码中必须有几个字符要与旧密码不同

Minlen=:此选项用来设置新密码的最小长度

Ucredit=用来设置新密码中可以包含大写字母的最大数目。-1至少一次

Lcredit=用来设定新密码中可以包含的小写字母的最大数目

Dcredit用来设定新密码中可以包含数字的最大数目

 

三、禁止远程登录服务端的root用户

Vim /etc/ssh/sshd_config修改服务端配置文件，将默认的允许以root用户身份功能修改为no

重启ssh服务验证结果

屏蔽ssh的banner信息:cat /etc/sshd_config|grep –I banner

修改账户TMOUT值，设置自动注销时间，保存历史命令的条目也适应减小

Vim /etc/profile

将HISSIZE从1000改为100

HISTSIZE=100

增加如下一行

TMOUT=600时间单位为秒

 

四、设定新建立用户的密码有效期为3个月

Vim /etc/login.defs修改默认的密码策略文件，其中PASS_MAX_DAYS定义了密码最长有效期。

PASS_MAX_DAYS 90

修改后新建用户tetsuser2验证，用户密码使用90天后必须修改密码

Useradd testuser2

Echo “simple”|passwd –stdin testuser2

Tail –l /etc/shadow

 

五、锁定系统的重要文件进行安全保护

Chattr +i/etc/passwd /etc/shadow 改变文件属性

+i表示immutable(不可变)

Lsattr /etc/passwd /etc/shadow 查看文件属性，对文件添加了immutable属性后是无法删除文件，即使是root用户也无法删除

 

六、建立日志服务器

好处：每个工作服务器将自己的日志信息发送给日志服务器进行集中管理，即使有人入侵了服务器并将自己的登录信息删除，但由于日志信息实时与日志服务器同步，保证了日志的完整性。以备工作人员根据日志服务器信息对服务器安全

 

七、查找系统中具有的SUID/SGID文件

Find / -xdev –type f –perm /6000,其中/6000表示查找匹配具有suid和sgid的文件其他权限。