安全加固

1、密码长度与有效期
# cat /etc/login.defs |grep PASS_ |grep -v '#'
PASS_MAX_DAYS 99999
PASS_MIN_DAYS 0
PASS_MIN_LEN 5
PASS_WARN_AGE 7

# cp -a /etc/login.defs /etc/login.defs.default
# vi /etc/login.defs
PASS_MAX_DAYS 90
PASS_MIN_DAYS 6
PASS_MIN_LEN 8
PASS_WARN_AGE 30

PASS_MAX_DAYS 密码有效期
PASS_MIN_DAYS 修改密码的最短期限
PASS_MIN_LEN 密码最短长度
PASS_WARN_AGE 密码过期提醒

2、密码复杂度
# cat /etc/pam.d/system-auth | grep "pam_pwquality.so try_first_pass local_users_only retry=3 authtok_type="
# cp -a /etc/pam.d/system-auth /etc/pam.d/system-auth.default
# vi /etc/pam.d/system-auth
将password requisite pam_pwquality.so try_first_pass local_users_only retry=3 authtok_type=
注释并在其下面新增1行 password requisite pam_cracklib.so try_first_pass minlen=8 difok=5 dcredit=-1 lcredit=-1 ocredit=-1 retry=1 type=
保存配置文件

3、新口令不能与4个最近使用的相同
# cat /etc/pam.d/system-auth |grep use_authtok
password sufficient pam_unix.so sha512 shadow nullok try_first_pass use_authtok
# vi /etc/pam.d/system-auth
在password sufficient pam_unix.so sha512 shadow nullok try_first_pass use_authtok 所在行的后面添加remember=5
保存配置文件

4、设置会话超时（5分钟）
vi /etc/profile
在文件的末尾添加参数
export TMOUT=300

5、设置history命令时间戳
vi /etc/profile
在文件的末尾添加参数
export HISTTIMEFORMAT="%F %T `whoami` "

6、设置登陆失败锁定（终端登录）
# vi /etc/pam.d/system-auth
在# User changes will be destroyed the next time authconfig is run.行的下面，添加
auth required pam_tally2.so deny=5 unlock_time=1800 even_deny_root root_unlock_time=900

7、SSH 配置参数增强
cp -a /etc/ssh/sshd_config /etc/ssh/sshd_config.default
vi /etc/ssh/sshd_config
Port 22
PermitRootLogin no
PermitEmptyPasswords no
AllowTcpForwarding no
ChallengeResponseAuthentication no
GSSAPIAuthentication no
UseDNS no

8、禁止Control-Alt-Delete 键盘重启系统命令
cp -a /usr/lib/systemd/system/ctrl-alt-del.target /usr/lib/systemd/system/ctrl-alt-del.target.default
rm -rf /usr/lib/systemd/system/ctrl-alt-del.target

9、最大文件打开数（文件句柄数）
# ulimit -n
# cp -a /etc/security/limits.conf /etc/security/limits.conf.default
添加以下两行配置到该文件最后
* soft nofile 65535
* hard nofile 65535

10、用户最大进程数
# cat /etc/security/limits.d/20-nproc.conf
# cp -a /etc/security/limits.d/20-nproc.conf /etc/security/limits.d/20-nproc.conf.default
修改配置文件vim /etc/security/limits.d/20-nproc.conf
* soft nproc 65535
* hard nproc 65535

firewall-cmd --list-all

posted @ 2024-01-22 08:45 正在努力的BOY 阅读(14) 评论(0) 编辑收藏举报

会员力量，点亮园子希望

刷新页面返回顶部

正在努力的BOY

安全加固

公告