linux安全加固

对用户密码强度的设定

打开 /etc/pam.d/sysetm-auth 文件 ，修改如下。我们设置新密码不能和旧密码相同，同时新密码至少8位，还要同时包含大字母、小写字母和数字

[root@chu7 pam.d]# grep password /etc/pam.d/system-auth
password    requisite     pam_pwquality.so try_first_pass local_users_only retry=3 authtok_type=  difok=1 minlen=8 ucredit=-1 lcredit=-1 dcredit=-1

difok= ：此选项用来定义新密码中必须要有几个字符和旧密码不同
minlen=：此选项用来设置新密码的最小长度
ucredit= ：此选项用来设定新密码中可以包含的大写字母的最大数目。-1 至少一个
lcredit=：此选项用来设定新密码中可以包含的小写字母的最大数目
dcredit=：此选项用来设定新密码中可以包含的数字的最大数目

对用户的登入次数进行限制

有一些攻击性的软件是专门采用暴力破解密码的形式反复进行登录尝试，对于这种情况，我们可以调整用户登录次数限制，使其密码输入3次后自动锁定，并且设置锁定时间，在锁定时间内即使密码输入正确也无法登录

打开 /etc/pam.d/sshd 文件，在 #%PAM-1.0 的下面，加入下面的内容，表示当密码输入错误达到3次，就锁定用户150秒，如果root用户输入密码错误达到3次，锁定300秒。锁定的意思是即使密码正确了也登录不了

[root@chu7 pam.d]# egrep "auth.*required" /etc/pam.d/sshd
auth required pam_tally2.so deny=3 unlock_time=150 even_deny_root root_unlock_time300

#查看被锁定用户
[root@chu7 pam.d]# pam_tally2
Login           Failures Latest failure     From
user01             10    09/21/20 12:49:26  192.168.121.129
#把锁定的用户解锁
[root@chu7 pam.d]# pam_tally2 --reset -u user01
Login           Failures Latest failure     From

禁止root用户远程登入，使用普通用户sudo提权

[root@chu7 pam.d]# grep "PermitRootLogin" /etc/ssh/sshd_config
PermitRootLogin no

[root@chu7 etc]# grep "NOPASSWD" /etc/sudoers
%wheel  ALL=(ALL)   NOPASSWD: ALL

历史命令默认保存1000条，修改为只保存200条

[root@chu7 user01]# grep "HISTSIZE" /etc/profile
#历史命令保存200条
HISTSIZE=200
[root@chu7 user01]# source /etc/profile

删除系统中不必要的用户，修改空口令的用户密码

使用命令 userdel  -r 用户名  删除不必要的账号
使用命令 passwd -l  用户名  锁定不必要的账号
使用命令 awk -F: '($7=="/bin/bash"){print $1}' /etc/passwd   查看具有登录权限的用户
使用命令 awk -F: '($3==0)' /etc/passwd    查看UID为0的账号，UID为0的用户会自动切换到root用户，所以危害很大
使用命令 awk -F: '($2=="")' /etc/shadow   查看空口令账号，如果存在空口令用户的话必须设置密码 

设置账户登入超时时间

[root@chu7 user01]# grep "TMOUT" /etc/profile
export TMOUT=30      #单位为秒