Linux 服务器企业级安全加固

Linux 服务器企业级安全加固

1. 锁定不必要的用户

# 使用passwd -l 锁定不必要的账号，这里是把除了root以外所有的账号都锁定
#!/bin/bash
for temp in cut -d ":" -f 1 /etc/passwd | grep -v "root";do
	passwd -l $temp
done

2. 修改密码过期时间

vim /etc/login.defs

PASS_MAX_DAYS 90 # 新建用户密.码最长使用天数
PASS_MIN_DAYS 0 # 新建用户密.码最短使用天数
PASS_MIN_LEN 7 # 新建用户密.码到期提示天数
PASS_WARN_AGE 10 # 最小密.码长度

3. 设置密码复杂度

# 复杂程度至少一个大写字母、一个小写字母、一个特殊符号，且长度至少为10位
[root@localhost ~]# vim /etc/pam.d/system-auth
password required pam_cracklib.so try_first_pass retry=3 dcredit=-1 lcredit=-1 ucredit=-1 ocredit=-1 minlen=10

4. 限制登录超时

# 超时时间为5分钟，5分钟没有动作自动注销登录
vim /etc/profile

TMOUT=300
export TMOUT

5. 限制错误登录次数

[root@localhost ~]# vim /etc/pam.d/login

#%PAM-1.0
auth required pam_tally2.so deny=3 lock_time=300 even_deny_root root_unlock_time=10
查询远程登录次数
pam_tally2 --user 用户

6. 创建普通用户，并且授予sudo权限

useradd test;echo 123|passwd --stdin test

vim /etc/sudoers
test ALL=(ALL) ALL

7. 禁止root远程登录

vim /etc/ssh/sshd_config
PermitRootLogin no

systemctl restart sshd

8. 修改root默认端口

vim /etc/ssh/sshd_config
Port 22222	# 修改登录端口
MaxAuthTries=3 	# 密码最大尝试次数3

systemctl restart sshd

9. 限制允许ssh远程的IP

vi /etc/hosts.allow
sshd:192.168.220.1 #允许单个IP

sshd:192.168.220. #允许地址段

vi /etc/hosts.deny
sshd:ALL #除了上面允许的其他都拒绝

10. 锁定系统文件

[root@localhost sbin]# chattr +i /sbin/
[root@localhost sbin]# chattr +i /usr/sbin/
[root@localhost sbin]# chattr +i /bin/
[root@localhost sbin]# chattr +i /sbin/
[root@localhost sbin]# chattr +i /usr/lib
[root@localhost sbin]# chattr +i /usr/lib64
[root@localhost sbin]# chattr +i /usr/libexec