Linux服务器安全设置

设置密码失效时间

查看当前的设置
chage -l root

设置修改密码最大间隔时间，60天
chage -M 60 root

是指密码修改最小间隔时间

设置修改密码最小间隔时间，10天
chage -m 10 root

设置SSH空闲超时退出时间

vim /etc/ssh/sshd_config

放开注释，修改值
ClientAliveInterval 600
ClientAliveCountMax 3

密码复杂度检查

检查密码长度和密码是否使用多种字符类型
vim /etc/security/pwquality.conf

把minlen（密码最小长度）设置为9-32位，把minclass（至少包含小写字母、大写字母、数字、特殊字符等4类字符中等3类或4类）设置为3或4。
minlen = 9
minclass = 3

检查密码重用是否受限制

在/etc/pam.d/password-auth和/etc/pam.d/system-auth中password sufficient pam_unix.so 这行的末尾配置remember参数为5-24之间，原来的内容不用更改，只在末尾加了remember=5。
vim /etc/pam.d/password-auth

追加remember=5
password    sufficient    pam_unix.so sha512 shadow nullok try_first_pass use_authtok remember=5：q

禁止使用root登录

新增一个用户用来登录
useradd test

设置密码
passwd test

修改/etc/sudoers 文件，找到下面一行，在root下面添加一行，如下所示：
vim /etc/sudoers

## Allow root to run any commands anywhere
root ALL=(ALL) ALL
vlson ALL=(ALL) ALL

修改SSHD配置，禁用root登录 vim /etc/ssh/sshd_config 找到“#PermitRootLogin yes 修改PermitRootLogin后面的yes为no,并且去掉前面的注释符，同时可以限制失败次数 PermitRootLogin no MaxAuthTries 3

重启SSHD服务
service sshd restart

拓展ssh暴力破解

定义：不断通过ssh尝试密码登录服务器

基本防御：更换默认的22端口号，设置IP白名单，只有特定IP的用户才可以访问。
修改ssh端口号：
使用root用户vim /etc/ssh/sshd_config

　　放开Port 22注释，并增加你想更换的端口号

　　Port 22
　　Port 12435

　　重启sshd:centos 7使用：systemctl restart sshd.service

Linux服务器安全设置

相关推荐