centos 账号安全设置
1)配置文件 /etc/login.defs 设置密码有效期、长度和密码过期时间参数
PASS_MAX_DAYS 设置用户密码的有效期(以天数为单位)
PASS_MIN_DAYS 是否可修改密码,0表示可修改,非0表示多少天可修改
PASS_MIN_LEN 设置用户密码的最小长度。
PASS_WARN_AGE 设置用户密码到期时的提前通知时间(以天数为单位)。
2) 账号密码复杂度控制机制 /etc/pam.d/system-auth
retry=5 设置新密码时允许尝试的次数为5次
difok=3 密码中最少有3种不同的字符
minlen=12 密码最短长度大于12个字符
ucredit=1 密码中至少有1个大写字母
lcredit=3 密码中最少包含3个小写字母
dcredit=3 密码中最少包含3个数字。
3)登录系统失败控制机制 /etc/pam.d/log
为了防止某些用户恶意尝试登录系统而来的影响
deny 设置用户连续错误输入密码次数(只要超过这个数,用户账号就被锁定)。
lock_time 设置普通用户被锁定的时长,单位是秒。
even_deny_root 这个限制也包括root用户。
root_unlock_time 设置root 用户被锁的时长,单位是秒
4) ip地址限制远程访问 /etc/hosts.allow
如:允许192.168.68.16 访问
添加
sshd:192.168.68.16:allow
sshd:all:deny
如:允许 192.168.68段IP的主机远程登录
sshd:192.168.68.:allow
sshd:all:deny
如允许IP地址在192.168.68.10~192.168.68.100之间的主机远程登录
sshd:192.168.68.10:allow
sshd:192.168.68.100:allow