-1-/91概述-1-1.1适用范围-1-2用户账户安全加固-1-2.1修改用户密码策略-1-2.2锁定或删除系统中与服务运行,运维无关的的用户-1-2.3锁定或删除系统中不使用的组-2-2.4限制密码的最小长度-2-3用户登录安全设置-3-3.1禁止root用户远程登录-3-3.2设置远程ssh登录超时时间-4-3.3设置当用户连续登录失败三次,锁定用户30分钟-5-3.4设置用户不能使用最近五次使用过的密码-5-3.5设置登陆系统账户超时自动退出登陆-6-4系统安全加固-6-4.1关闭系统中与系统正常运行、业务无关的服务-6-4.2禁用“CTRL+ALT+DEL”重启系统-7-4.3加密grub菜单-7-1概述1.1适用范围本方案适用于银视通信息科技有限公司linux主机安全加固,供运维人员参考对linux主机进行安全加固。-1-/92用户账户安全加固2.1修改用户密码策略(1)修改前备份配置文件:/etc/login.defscp/etc/login.defs/etc/login.defs.bak(2)修改编辑配置文件:vi/etc/login.defs,修改如下配置:PASS_MAX_DAYS90(用户的密码不过期最多的天数)PASS_MIN_DAYS0(密码修改之间最小的天数)PASS_MIN_LEN8(密码最小长度)PASS_WARN_AGE7(口令失效前多少天开始通知用户更改密码)(3)回退操作cp/etc/login.defs.bak/etc/login.defs2.2锁定或删除系统中与服务运行,运维无关的的用户(1)查看系统中的用户并确定无用的用户|~]#more/etc/passwd(2)锁定不使用的账户(锁定或删除用户根据自己的需求操作一项即可)锁定不使用的账户:usermod-Lusername或删除不使用的账户:userdel-fusername(3)回退操作用户锁定后当使用时可解除锁定,解除锁定命令为usermod-Uusername-1-/92.3锁定或删除系统中不使用的组(1)操作前备份组配置文件/etc/groupcp/etc/group/etc/group.bak2)查看系统中的组并确定不使用的组cat/etc/group3)删除或锁定不使用的组锁定不使用的组:修改组配置文件/etc/group,在不使用的组前加“#”注释掉该组即可删除不使用的组:groupdelgroupname4)回退操作cp/etc/group.bak/etc/group2.4限制密码的最小长度(1)操作前备份组配置文件/etc/pam.d/system-authcp/etc/pam.d/etc/pam.d.bak(2)设置密码的最小长度为8修改配置文件/etc/pam.d,在行"passwordrequisitepam_pwquality.sotry_first_passlocal_users_onlyretry=3authtok_type="中添加“minlen=8",或使用sed修改:sed-i"s#passwordrequisitepam_pwquality.sotry_first_passlocal_users_onlyretry=3authtok_type=#passwordrequisitepam_pwquality.sotry_first_passlocal_users_onlyretry=3minlen=8authtok_type=#g"/etc/pam.d/system-auth(3)回退操作~]#cp/etc/pam.d.bak/etc/pam.d-1-/93用户登录安全设置3.1禁止root用户远程登录(1)修改前备份ssh配置文件/etc/ssh/sshd_conf~]#cp/etc/ssh/sshd_conf/etc/ssh/sshd_conf.bak(2)修改ssh服务配置文件不允许root用户远程登录编辑/etc/ssh/sshd_config找到“#PermitRootLoginyes"去掉注释并修改为“PermitRootLoginno"或者使用sed修改,修改命令为:~]#sed-i"s@#PermitRootLoginyes@PermitRootLoginno@g"/etc/ssh/sshd_config(3)修改完成后重启ssh服务Centos6.x为:servicesshdrestartCentos7.x为:systemctlrestartsshd.service(4)回退操作cp/etc/ssh/sshd_config.bak/etc/ssh/sshd_config3.2设置远程ssh登录超时时间(1)修改前备份ssh服务配置文件/etc/ssh/sshd_configcp/etc/ssh/sshd_conf/etc/ssh/sshd_conf.bak(2)设置远程ssh登录长时间不操作退出登录编辑/etc/ssh/sshd_conf将”#ClientAlivelnterval0”修改为”ClientAlivelnterval180”,将”#ClientAliveCountMax3”去掉注释,或执行如下命令:~]#sed-i"s@#ClientAlivelnterval0@ClientAlivelnterval180@g"/etc/ssh/sshd_config-1-/9~]#sed-i"s@#ClientAliveCountMax3@ClientAliveCountMax3@g"/etc/ssh/sshd_config(3)配置完成后保存并重启ssh服务Centos6.x为:servicesshdrestartCentos7.x为:systemctlrestartsshd.service4)回退操作cp/etc/ssh/sshd_config.bak/etc/ssh/sshd_config3.3设置当用户连续登录失败三次,锁定用户30分钟(1)配置前备份配置文件/etc/pam.d/sshdcp/...
