Linux 服务器安全策略配置

密码策略

修改密码过期策略

修改/etc/login.defs文件，控制密码的有效期

# 密码最长过期天数
PASS_MAX_DAYS   90  
# 密码最小过期天数
PASS_MIN_DAYS   0 
# 密码最小长度
PASS_MIN_LEN    16  
# 密码过期警告天数
PASS_WARN_AGE   7   

查看密码策略

chage -l 用户名

$ chage -l | root

# 最近修改密码时间
Last password change    : Jan 24, 2018
# 密码过期时间
Password expires        : never
# 密码失效时间
Password inactive       : never
# 
Account expires         : never
# 两次改变密码之间间距的最小天数
Minimum number of days between password change      : 0
# 两次改变密码之间间距的最大天数
Maximum number of days between password change      : 99999
# 在密码过期之前警告的天数
Number of days of warning before password expires   : 7

修改密码复杂度策略

控制密码复杂度，需已安装pam_cracklib，centos已默认安装

修改/etc/etc/pam.d/system-auth文件，添加如下语句，需放置在最前面，否则可能不生效

password    requisite     pam_cracklib.so retry=5  difok=3 minlen=10 ucredit=-1 lcredit=-3 dcredit=-3 dictpath=/usr/share/cracklib/pw_dict

参数说明

参数	描述
retry	重试次数
difok	密码中需要多少个不同字符
minlen	密码最小长度
ucredit	密码中需要多少个大写字符
lcredit	密码中需要多少个小写字符
dcredit	密码中需要多少个数字类型
dictpath	密码字典路径

登录失败策略

Linux登录失败

IP白名单策略

1 修改/etc/hosts.allow文件，增加允许通过SSH连接的客户端IP

# 单个IP
sshd:119.137.2.243
# IP地址段
sshd:119.137.2.

2 修改/etc/hosts.deny文件，增加禁止通过SSH连接的客户端IP

# 禁止所有IP
sshd:ALL
# 禁止telnet
in.telnetd:ALL

3 重启sshd服务和xinetd(可选)服务，使之生效

service sshd restart
service xinetd restart

如果hosts.allow和hosts.deny文件均包含同一ip，则以hosts.all文件为准，如果只是单独配置了hosts.all文件，并没有在hosts.deny文件禁止，依然不生效

https://www.fank243.com/posts/c6c26810.html