1、口令长度限制
设定用户默认密码长度不小于10位(数字、字母、特殊字符) 说明:该限制只是警告提示,不是强制要求
· 检查项:设置用户密码最小长度
加固建议:在/etc/security/pwquality.conf中取消minlen注释符号#,同时设置最小密码长度建议10位以上
· 检查项:设置用户密码数字位数
加固建议:在/etc/security/pwquality.conf中取消dcredit注释符号#,同时设置为负 数建议-1最少包含1位数字
· 检查项:设置用户密码小写字母位数
加固建议:在/etc/security/pwquality.conf中取消lcredit注释符号#,同时设置为负数建议-1最少包含1位小写字母
· 检查项:设置用户密码特殊字符位数
加固建议:在/etc/security/pwquality.conf中取消ocredit注释符号#,同时设置为负数建议-1最少包含1位特殊字符
2、登录失败锁定
设定用户登录超时退出,普通用户登录失败超过5次锁定1800s.
tty登录限制,普通用户登录失败5分钟后锁定300s,root锁定1800s
echo " auth required pam_tally2.so deny=5 unlock_time=300 even_deny_root root_unlock_time=1800" >>/etc/pam.d/login
ssh登录限制,普通用户登录失败5分钟后锁定300s,root锁定1800s
echo " auth required pam_tally2.so deny=5 unlock_time=300 even_deny_root root_unlock_time=1800" >>/etc/pam.d/sshd
3、设置tty登录超时自动退出
/etc/profile 中新增 TMOUT=600
设置bash命令保留的历史条数为10条(系统默认是1K)
/etc/profile 中HISTSIZE改成10
4、ssh安全性配置
内置一个普通用户user,该用户的口令与root口令不一样
useradd user passwd user
禁止SSH root登录 /etc/ssh/sshd_config
PermitRootLogin no
修改ssh的端口
Port 50060
禁止SSH空密码登录
PermitEmptyPasswords no
开启SSH 警告标语,提高安全意识。补充:该提示支持自定义
banner /etc/issue
设置ssh连接超时退出 ClientAliveInterval 60 每隔60秒向客户端发送一个“空包”,以保持于客户端的连接 ClientAliveCountMax 10 总共发送10次“空包”,之后断开它们之间的连接
配置生效需要重启sshd服务,systemctl restart sshd
linux上远程的命令是 ssh -p 50060 user@192.168.12.25 本地远程命令是 ssh user@192.168.12.15 50060
5、禁止USB外设
echo "install usb-storage /bin/false" > /etc/modprobe.d/usb-storage.conf
不妨碍键盘鼠标的使用
6、配置恶意软件防范策略
安装iptables服务
rpm -ivh iptables-services-1.4.21-24.el7.x86_64.rpm
开启iptables
systemctl enable iptables && systemctl start iptables systemctl stop firewalld && systemctl disable firewalld
原文地址:https://blog.csdn.net/JUFENG_FEI/article/details/119175012
