服务器弱口令漏洞修复策略

vi /etc/pam.d/system-auth

password requisite pam_cracklib.so try_first_pass retry=3 minlen=8 ocredit=-1 ucredit=-1 lcredit=-1 dcredit=-1

vim /etc/pam.d/login

# 添加如下一行：

uth required pam_tally2.so deny=3 unlock_time=100 even_deny_root root_unlock_time=300

设置账号锁定并在一定时间内解锁

# vi /etc/pam.d/system-auth

auth required pam_tally2.so onerr=fail audit silent deny=5 unlock_time=900

echo $TMOUT # 如果输出空或0表示不超时，大于0的数字n表示n秒没有收入则超时 #

vi /etc/profile

# 加入如下代码

export TMOUT=900

# 900即900秒内无操作自动退出终端，若修改为0就是设置不超时

source /etc/profile # 让配置立即生效

# vim /etc/hosts.allow

#最后一行加入：

sshd:192.168.0.28:allow //多个IP可以按照此格式写多行

sshd:192.168.18.1:allow

sshd:192.168.18.2:allow

# vim /etc/hosts.deny

#最后一行添加你要禁止的ip就可以了

sshd:192.168.1.14:deny

拒绝所有：

# vim /etc/hosts.deny，最后一行加入：

sshd:ALL //除了上面允许登录的IP，其它IP都拒绝登录

# vim /etc/hosts.allow

#最后一行加入：

sshd:192.168.1.*:allow

# vim /etc/hosts.deny

#最后一行加入：

sshd:ALL //除了上面允许登录的IP，其它IP都拒绝登录

# vim /etc/ssh/sshd_config

#最后一行加入：

AllowUsers test1@192.168.0.28 root@192.168.1.13 //多个用户名@IP之间使用空格分隔

# vi /etc/login.defs

PASS_MAX_DAYS 90

#这一参数限制一个密码可使用的最大天数。它强制用户在过期前修改他/她的密码。如果他们忘记修改，那么他们会登录不了系统。他们需要联系管理员才能正常登录。这里将天数设置为 90 天。

# vi /etc/login.defs

PASS_MIN_DAYS 15

#这个参数限制两次修改之间的最少天数。举例来说，如果这个参数被设置为 15 天，用户今天修改了密码，那么在 15 天之内他都不能修改密码。这里将天数设置为 15 天。

# vi /etc/login.defs

PASS_WARN_AGE 10

#这个参数控制密码警告的前置天数，在密码即将过期时会给用户警告提示。在警告天数结束前，用户会收到日常警告提示。这可以提醒用户在密码过期前修改他们的密码，否则我们就需要联系管理员来解锁密码。这里将天数设置为 10 天。

chage -d 0 用户名