1除root用户 其他的都限制使用su命令的权限
在/etc/pam.d/su下加入:
auth required pam_wheel.so
2 超时设置
/etc/profile 里面
TMOUT=1800
3 定时修改密码
· /etc/shadow
用户名:$1$8zdAKdfC$XDa8eSus2I7nQL7UjRsIy/:13025:5:60:7:2:13125:
1 2 3 4 5 67 8 9
这表示什么呢?要注意的是, 13025 是 2005/08/30 ,所以, dmtsai 这个用户他的密码相关意义是:
最近一次更动密码的日期是 2005/08/30 (13025);
能够修改密码的时间是 5 天以后,也就是 2005/09/04 以前 dmtsai 不能修改自己的密码;
· 使用者必须要在 2005/09/04 到 2005/10/29 之间的 60 天限制内去修改自己的密码,若 2005/10/29 之后还是没有变更密码时,该账号就会宣告失效;
· 如果用户一直没有更改密码,那么在 2005/10/29 之前的 7 天内,系统会警告 dmtsai 应该修改密码的相关信息;
· 如果该账号一直到 2005/10/29 都没有更改密码,由于还有两天的恕限时间,因此, dmtsai 还是可以在 2005/10/31 以前继续登入;
· 如果使用者在 2005/10/29 以前变更过密码,那么那个13025 的日期就会跟着改变,因此, 所有的限制日期也会跟着相对变动喔!^_^
· 无论使用者如何动作,到了 13125 ,大约是 2005/12/8 左右,该账号就失效了~
查看当前日期所对应的数字:echo $(($(date --date="2008/09/04" +%s)/86400+1))——————貌似最终结果不对
参考:http://vbird.dic.ksu.edu.tw/linux_basic/fedora_4/0410accountmanager-fc4.php#account_user
所以,需求可改为:密码有效期120天 密码失效前14天发出警告,失效后14天内能登陆
用户名:密码:16695:0:120:14:14::
4 登陆错误N次后自动锁定N分钟
在字符终端下,实现某一用户连续错误登陆N次后,就锁定该用户X分钟。
执行 vi /etc/pam.d/sshd
/etc/pam.d/login中配置只在本地文本终端上做限制;
/etc/pam.d/kde(suse为gdm)在配置时在kde图形界面调用时限制;
/etc/pam.d/sshd中配置时在通过ssh连接时做限制;
/etc/pam.d/system-auth中配置凡是调用 system-auth 文件的服务,都会生效
在#%PAM-1.0 下新起一行,加入
auth required pam_tally2.so deny=3 unlock_time=5 even_deny_rootroot_unlock_time=10
如果不限制root用户,则可以写成
auth required pam_tally2.so deny=3 unlock_time=5
其中大概含义如下:
even_deny_root 也限制root用户;
deny 设置普通用户和root用户连续错误登陆的最大次数,超过最大次数,则锁定该用户;
unlock_time 设定普通用户锁定后,多少时间后解锁,单位是秒;
root_unlock_time 设定root用户锁定后,多少时间后解锁,单位是秒
解锁与查看失败
可以通过以下指令查看361way用户登录的错误次数及详细信息:
1. pam_tally2 --user aaa
可以通过以下命令清空361way用户的错误登录次数,即手动解锁:
1. pam_tally2 --user aaa --reset
同样,使用faillog -r命令也可以进行解锁
此处使用的是 pam_tally2 模块,如果不支持 pam_tally2 可以使用 pam_tally 模块。另外,不同的pam版本,设置可能有所不同,具体使用方法,可以参照相关模块的使用规则。
snmpV3配置:(cacti可用到)
先VNC挂载安装包,然后安装
yum –y install net-snmp*
useradd snmp
passwd snmp
service snmpd stop
net-snmp-config --create-snmpv3-user -ro -aaaaaaaaa -A MD5 snmp
service snmpd start
chkconfig snmpd on
snmpwalk -v3 -u snmp -l auth -a MD5 -A aaaaaaaa 127.0.0.1if
操作:
1除root用户 其他的都限制使用su命令的权限
在/etc/pam.d/su下加入:
auth required pam_wheel.so
3 定时修改密码
/etc/shadow
用户名:密码:16695:0:120:14:14::
4 登陆错误8次后自动锁定30分钟
vi /etc/pam.d/sshd (root用户也算进去)
在#%PAM-1.0 下新起一行,加入
auth required pam_tally2.so deny=8 unlock_time=1800 even_deny_rootroot_unlock_time=1800
vi /etc/pam.d/gdm(root用户不算)
在#%PAM-1.0 下新起一行,加入
auth required pam_tally2.so deny=8unlock_time=1800
在日志服务器上放行514端口
iptables –A INPUT -m state--state NEW -m tcp -p tcp --dport 514 –j ACCEPT
iptables –A INPUT -p udp -m state -m udp --dport 514--state NEW -j ACCEPT
新建帐号:
useradd -g 0 -m -d /home/aaaa -s /bin/bash aaaa
更改连接传输限制
vi /etc/security/limits.conf
* soft nofile 65535
* hard nofile 65535
1. 主机口令由大小写字母、数字、特殊字符组成,至少8位,(vi /etc/login.defs PASS_MIN_LEN 8)每六个月更换一次 设备8次登陆失败自动锁定10分钟(echo"auth required pam_tally2.so deny=8 unlock_time=600 even_deny_root root_unlock_time=600">>/etc/pam.d/sshd),记录登陆失败日志,并且发送报警邮件;
echo "auth required pam_tally2.sodeny=8 unlock_time=600 even_deny_root root_unlock_time=600">>/etc/pam.d/sshd
chmod 777 /var/log/usermonitor.log
密码180天修改 sed-i's#99999#180#'/etc/login.defs
/etc/pam.d/su 或者vi /etc/pam.d/su-l
打开auth required pam_wheel.souse_uid
(要有#号,没有的话su –root时不用输密码)
新建用户:
useradd -g 10 -m -d /home/luohy -s /bin/bash luohy
修改用户密码:
echo 'abc'| passwd --stdin luohy
禁止root通过ssh登录
echo "PermitRootLogin no">>/etc/ssh/sshd_config
service sshd restart
登录失败次数echo "auth required pam_tally2.so deny=8 unlock_time=600 even_deny_root
root_unlock_time=600" >>/etc/pam.d/sshd
echo "auth required pam_tally2.sodeny=8 unlock_time=600 even_deny_root root_unlock_time=600">>/etc/pam.d/sshd
审计记录/var/log/audit/audit.log
开启审计功能:auditctl -e1 rcauditd restart
检查属主:stat -c %U filename 删除无属主文件:find / -nouser -exec rm -rf {} \;
19. 关闭BOOTP服务
检查LINUX服务器 netstat -anptu|grep 68检查端口,如果有,则
service dhcpd stop
chkconfig dhcpd off
25.统一同步时间centos
service ntpd status
service ntpd stop
chkconfig ntpd off
/usr/sbin/ntpdate 172.28.8.190
crontab-e
#时间同步
* */1 * * * /usr/sbin/ntpdate 172.28.8.190
suse
可视化操作:
control center——system——date and time
49.将文件进行属主分配或及时删除
find / -nouser -exec rm -rf {} \;
50.先查看是否有审计记录
cat /var/log/audit/audit.log
如没有:则开启审计功能:
auditctl -e1
rcauditd restart
再查看是否有审计记录
cat /var/log/audit/audit.log
32. 更新openssl版本(Heartbleed心脏出血)
wgethttp://www.openssl.org/source/openssl-1.0.1h.tar.gz
tar zxvf openssl-1.0.1h.tar.gz
cd openssl-1.0.1h
./config --prefix=/usr/local/openssl
make && make install
mv /usr/bin/openssl/usr/bin/openssl.OFF
mv /usr/include/openssl/usr/include/openssl.OFF
ln -s /usr/local/openssl/bin/openssl/usr/bin/openssl
ln -s /usr/local/openssl/include/openssl/usr/include/openssl
echo"/usr/local/openssl/lib">>/etc/ld.so.conf
ldconfig -v
openssl version -a
操作
cp/nfs8205/soft/openssl-1.0.1t.tar.gz /opt/
cd /opt/
tar -zxvfopenssl-1.0.1t.tar.gz
cd /opt/openssl-1.0.1t/
./config--prefix=/usr/local/openssl
make && makeinstall
mv /usr/bin/openssl/usr/bin/openssl.OFF
mv /usr/include/openssl /usr/include/openssl.OFF
ln -s/usr/local/openssl/bin/openssl /usr/bin/openssl
ln -s/usr/local/openssl/include/openssl /usr/include/openssl
echo"/usr/local/openssl/lib">>/etc/ld.so.conf
ldconfig -v
cat /var/log/audit/audit.log
openssl version -a
cat /var/log/audit/audit.log
如没有:则开启审计功能:
auditctl -e1
rcauditd restart
再查看是否有审计记录
suse
可视化操作:
control center——system——date and time