Linux服务器安全策略配置

  • 1、口令长度限制
  • 2、登录失败锁定
  • 3、设置tty登录超时自动退出
  • 4、ssh安全性配置
  • 5、禁止USB外设
  • 6、配置恶意软件防范策略


1、口令长度限制

设定用户默认密码长度不小于10位(数字、字母、特殊字符) 说明:该限制只是警告提示,不是强制要求

· 检查项:设置用户密码最小长度
加固建议:在/etc/security/pwquality.conf中取消minlen注释符号#,同时设置最小密码长度建议10位以上

· 检查项:设置用户密码数字位数
加固建议:在/etc/security/pwquality.conf中取消dcredit注释符号#,同时设置为负 数建议-1最少包含1位数字

· 检查项:设置用户密码小写字母位数
加固建议:在/etc/security/pwquality.conf中取消lcredit注释符号#,同时设置为负数建议-1最少包含1位小写字母

· 检查项:设置用户密码特殊字符位数
加固建议:在/etc/security/pwquality.conf中取消ocredit注释符号#,同时设置为负数建议-1最少包含1位特殊字符

2、登录失败锁定

设定用户登录超时退出,普通用户登录失败超过5次锁定1800s.
tty登录限制,普通用户登录失败5分钟后锁定300s,root锁定1800s

echo " auth        required    pam_tally2.so deny=5 unlock_time=300 even_deny_root root_unlock_time=1800" >>/etc/pam.d/login

ssh登录限制,普通用户登录失败5分钟后锁定300s,root锁定1800s

echo " auth        required    pam_tally2.so deny=5 unlock_time=300 even_deny_root root_unlock_time=1800" >>/etc/pam.d/sshd

3、设置tty登录超时自动退出

/etc/profile 中新增
TMOUT=600

设置bash命令保留的历史条数为10条(系统默认是1K)

/etc/profile 中HISTSIZE改成10

4、ssh安全性配置

内置一个普通用户user,该用户的口令与root口令不一样

useradd user
passwd user

禁止SSH root登录 /etc/ssh/sshd_config

PermitRootLogin no

修改ssh的端口

Port 50060

禁止SSH空密码登录

PermitEmptyPasswords no

开启SSH 警告标语,提高安全意识。补充:该提示支持自定义

banner /etc/issue

设置ssh连接超时退出
ClientAliveInterval 60 每隔60秒向客户端发送一个“空包”,以保持于客户端的连接
ClientAliveCountMax 10 总共发送10次“空包”,之后断开它们之间的连接

配置生效需要重启sshd服务,systemctl restart sshd

linux上远程的命令是 ssh -p 50060 user@192.168.12.25
本地远程命令是 ssh user@192.168.12.15 50060

5、禁止USB外设

echo "install usb-storage /bin/false" > /etc/modprobe.d/usb-storage.conf

不妨碍键盘鼠标的使用

6、配置恶意软件防范策略

安装iptables服务

rpm -ivh iptables-services-1.4.21-24.el7.x86_64.rpm

开启iptables

systemctl enable iptables && systemctl start iptables
systemctl stop firewalld && systemctl disable firewalld

服务器租用认准驰网,24小时售后为您保驾护航!