Linux服务器安全配置

Linux帐户口令生存期策略

• 描述

  口令老化（Password aging）是一种增强的系统口令生命期认证机制，能够确保用户的口令定期更换，提高系统安全性。

• 参考

  http://man7.org/linux/man-pages/man5/login.defs.5.html

• 方案

  修改文件/etc/login.defs，配置
  PASS_MAX_DAYS 90

 

Linux配置账户登录失败锁定策略

• 描述

  设置账户登录失败锁定策略，加大用户口令被暴力破解的难度。

• 参考

  http://man7.org/linux/man-pages/man8/pam_tally2.8.html

• 方案

  设置连续输错5次口令，帐号锁定5分钟。
  在进行此项安全加固工作前，请先检查PAM模块版本，搜索pam_tally2是否存在，如果pam_tally2存在，修改配置文件。【注意： 各系统配置不一，请根据当前系统进行适当配置，并仔细评估对系统的影响】
  修复方案（仅供参考，请勿直接配置）：
  centos
  修改配置/etc/pam.d/password-auth（将配置添加到合适的位置）:
  auth required pam_tally2.so deny=5 unlock_time=300 even_deny_root root_unlock_time=300
  account required pam_tally2.so
  ubuntu,debian：
  修改配置/etc/pam.d/common-auth（将配置添加到合适的位置）:
  auth required pam_tally2.so deny=5 unlock_time=300 even_deny_root root_unlock_time=300
  修改配置/etc/pam.d/common-account参数（将配置添加到合适的位置）:
  account required pam_tally2.so

   

Linux帐户超时自动登出配置

• 描述

  配置帐户超时自动登出，在用户输入空闲一段时间后自动断开。 

• 方案

  修改/etc/profile文件，设置定时账户自动登出时间
  export TMOUT=180

限制root权限用户远程登录

• 描述

  限制root权限远程登录。先以普通权限用户远程登录后，再切换到超级管理员权限账号后执行相应操作，可以提升系统安全性。 

• 方案

  1. 修改文件/etc/ssh/sshd_config配置
  PermitRootLogin no
  2. 重启sshd服务

 

限制root登陆FTP

• 描述

  限制root用户登陆FTP。 

• 方案

  centos:
  1. 在文件/etc/vsftpd/ftpusers中增加root用户
  2. 重启FTP服务
  debain, ubuntu:
  1. 在文件/etc/ftpusers中增加root用户
  2. 重启FTP服务

 

限制匿名FTP

• 描述

  限制匿名FTP用户登录。 

• 方案

  centos:
  1. 修改配置文件/etc/vsftpd/vsftpd.conf， 配置：
  anonymous_enable=NO
  2. 重启FTP服务
  debain, ubuntu:
  1. 修改配置文件/etc/vsftpd.conf， 配置：
  anonymous_enable=NO
  2. 重启FTP服务