|
|
51CTO旗下网站
|
|
开户注册送38体验金端

如何做好Linux系统安全加固之账号安全?11个安全小技巧分享

系统安全设置是一个多维度问题,下面小编就从linux的账号安全的维度和大家分享一些常用的Linux安全加固小技巧。

作者:老王谈运维来源:今日头条|2019-04-12 14:07

由于Linux操作系统是一个开放源代码的免费操作系统,受到越来越多用户的欢迎。对于在线运行的业务,用户最关心的就是系统的安全性,系统运行的安全性直接影响着业务的安全。系统安全设置是一个多维度问题,下面小编就从linux的账号安全的维度和大家分享一些常用的Linux安全加固小技巧。

Linux系统安全

1. 设置密码策略

  1. [root@lkjtest ~]# cat /etc/login.defs |grep -v "#" |grep PASS 
  2. PASS_MAX_DAYS 180 
  3. PASS_MIN_DAYS 0 
  4. PASS_MIN_LEN 5 
  5. PASS_WARN_AGE 7 

如何做好Linux系统安全加固之账号安全?11个安全小技巧分享

参数说明:

  • PASSMAXDAYS:设置密码的过期日期
  • PASSMINDAYS:密码最小更改日期
  • PASSMINLEN :密码的最小长度
  • PASSWARNAGE :密码到期提前告警的天数

2. 限制用户远程登陆

  1. vim /etc/pam.d/sshd 
  2. #%PAM-1.0  
  3. auth required pam_tally2.so deny=3 unlock_time=300 even_deny_root root_unlock_time=10 

如何做好Linux系统安全加固之账号安全?11个安全小技巧分享

注意点:添加的内容一定要添加在前面,即“#%PAM-1.0” 之后,如果写在后面,虽然用户被锁定,但只要用户名和密码正确,依然是可以成功登陆进去的。

参数说明:

  • evendenyroot : root用户也限制。
  • deny :设置普通用户和root用户连续错误登陆的最大次数,超过最大次数,则锁定该用户.
  • unlock_time :普通用户锁定后,多长时间后解锁,单位是秒。
  • rootunlocktime :root用户锁定后,多少时间后解锁,单位是秒。

3. 限制用户从tty登陆

  1. vim /etc/pam.d/login 
  2. #%PAM-1.0  
  3. auth required pam_tally2.so deny=3 lock_time=300 even_deny_root root_unlock_time=10  

如何做好Linux系统安全加固之账号安全?11个安全小技巧分享

注意点:添加的内容一定要添加在前面,即“#%PAM-1.0” 之后,如果写在后面,虽然用户被锁定,但只要用户名和密码正确,依然是可以成功登陆进去的。

参数说明:

  • evendenyroot : root用户也限制。
  • deny :设置普通用户和root用户连续错误登陆的最大次数,超过最大次数,则锁定该用户.
  • unlock_time :普通用户锁定后,多长时间后解锁,单位是秒。
  • rootunlocktime :root用户锁定后,多少时间后解锁,单位是秒。

4. 查看用户登陆失败次数

  1. [root@localhost]# pam_tally2 --user root  
  2. Login Failures Latest failure From 
  3. root 0  

如何做好Linux系统安全加固之账号安全?11个安全小技巧分享

5. 解锁指定用户

  1. [root@localhost ~]# pam_tally2 -r -u root  
  2. Login Failures Latest failure From 
  3. root 0  

6. 设置口令复杂度

  1. 编辑 /etc/pam.d/system-auth 
  2. 找到pam_cracklib,在后加一些参数具体如下: 
  3. [root@lkjtest ~]# cat /etc/pam.d/system-auth |grep cracklib 
  4. password requisite pam_cracklib.so retry=5 difok=3 minlen=10 ucredit=-1 lcredit=-1 dcredit=-1 ocredit=-1 

如何做好Linux系统安全加固之账号安全?11个安全小技巧分享

参数说明:

  • retry=5:表示允许输入5次
  • difok=3:新密码与旧密码不同的个数为3
  • minlen=10:密码长度至少10位
  • ucredit=-1 :至少一位大写字母
  • lcredit=-1:至少一位小写字母
  • dcredit=-1:至少一位数字
  • ocredit=-1:其他字符至少一位

7. 限制su的权限

如果你不想任何人能够用su作为root,可以通过以下限制:

  1. 编辑/etc/pam.d/su文件,增加如下两行: 
  2. auth sufficient pam_rootok.so debug 
  3. auth required pam_wheel.so group=admin  

只有admin组的用户才能su

如何做好Linux系统安全加固之账号安全?11个安全小技巧分享

8. 设置用户登陆的时间段

有时为了系统登陆的安全,我们需要限制用户只能在特定的时间段才允许登陆主机,可以通过以下设置。

  1. #vi /etc/pam.d/sshd 
  2. 添加如下内容: 
  3. account required pam_time.so 
  4. # vi /etc/security/time.conf  
  5. 添加如下内容: 
  6. sshd;*;admin;!Th2100-2300  

如何做好Linux系统安全加固之账号安全?11个安全小技巧分享

如何做好Linux系统安全加固之账号安全?11个安全小技巧分享

time.conf参数说明:

  • sshd:表示仅对ssh程序限制
  • *:表示任何终端,也可以指定终端如tty1,tty2等
  • admin:表示仅对admin用户限制
  • !Tu2200-2230 :允许登录时间是周四2100-2300之外

9. 特别帐号的处理

如果不启动用sendmail,删除如下用户

  1. [root@localhost]# userdel adm 
  2. [root@localhost]# userdel lp 
  3. [root@localhost]# userdel sync 
  4. [root@localhost]# userdel shutdown 
  5. [root@localhost]# userdel halt 
  6. [root@localhost]# userdel mail 

如果不用X windows服务器.可有删除

  1. [root@localhost]# userdel news 
  2. [root@localhost]# userdel uucp 
  3. [root@localhost]# userdel operator 
  4. [root@localhost]# userdel games 

如果不允许匿名FTP帐号登陆,可删除

  1. [root@localhost]# userdel gopher 
  2. [root@localhost]# userdel ftp 

10.设置注销用户的时间及历史命令数

  1. [root@tp ~]# vi /etc/profile 
  2. ... 
  3. HOSTNAME=`/bin/hostname` 
  4. HISTSIZE=1000 //这里1000代表用户操作命令的历史记录,应尽量小一些,设置成0也可以。 
  5. tmout=600 //表示如果系统用户在600秒(10分钟)内不做任何操作,将自动注销这个用户. 

如何做好Linux系统安全加固之账号安全?11个安全小技巧分享

11. 防暴力破解

针对用户的防暴力破解,通常采用以下方法

  • hostDenyHosts :此软件的具体使用方法,可以参考官方文档。
  • 编写脚本检查/var/log/secure访问日志文件:通过统计日志文件中的登陆失败的ip,并将达到阈值的ip添加到/etc/hosts.deny来拒绝某个ip的再次访问。

【编辑推荐】

  1. Linux应急故事之四两拨千斤:黑客一个小小玩法,如何看瞎双眼
  2. 新型 Linux 病毒,脚本超 1000 行,功能复杂
  3. Linux systemd受内存损坏漏洞影响,尚无补丁
  4. 适用于Windows,Linux和OS X的2018年优秀黑客工具
  5. 十大有用的Kali Linux黑客工具
【责任编辑:赵宁宁 TEL:(010)68476606】

点赞 0
分享:
大家都在看
猜你喜欢

订阅专栏+更多

CentOS文件服务的最佳实战

CentOS文件服务的最佳实战

涨薪跳槽必备技能
共15章 | 追风蚂蚁

79人订阅学习

小白网工宝典

小白网工宝典

一次搞定思科华为
共15章 | 思科小牛

294人订阅学习

防火墙大佬修炼手册

防火墙大佬修炼手册

网工达人必备
共20章 | 捷哥CCIE

324人订阅学习

读 书 +更多

跨越网络工程师必备训练

本书是根据全国计算机技术与软件专业资格(水平)考试“网络工程师级考试大纲”编写的考试辅导用书。全书主体按考试大纲的章节编排,分上、...

订阅51CTO邮刊

点击这里查看样刊

订阅51CTO邮刊

51CTO服务号

51CTO播客

博聚网