1root用户  其他的都限制使用su命令的权限

在/etc/pam.d/su下加入:

auth required pam_wheel.so

2 超时设置

/etc/profile 里面
TMOUT=1800

3 定时修改密码

·  /etc/shadow

用户名:$1$8zdAKdfC$XDa8eSus2I7nQL7UjRsIy/:13025:5:60:7:2:13125:

   1                      2                  3  4  5 67    8  9

 

这表示什么呢?要注意的是, 13025 是 2005/08/30 ,所以, dmtsai 这个用户他的密码相关意义是:

  • 最近一次更动密码的日期是 2005/08/30 (13025);

  • 能够修改密码的时间是     5 天以后,也就是 2005/09/04 以前 dmtsai     不能修改自己的密码;

·  使用者必须要在 2005/09/04 到 2005/10/29 之间的 60 天限制内去修改自己的密码,若 2005/10/29 之后还是没有变更密码时,该账号就会宣告失效;

·  如果用户一直没有更改密码,那么在 2005/10/29 之前的 7 天内,系统会警告 dmtsai 应该修改密码的相关信息;

·  如果该账号一直到 2005/10/29 都没有更改密码,由于还有两天的恕限时间,因此, dmtsai 还是可以在 2005/10/31 以前继续登入;

·  如果使用者在 2005/10/29 以前变更过密码,那么那个13025 的日期就会跟着改变,因此, 所有的限制日期也会跟着相对变动喔!^_^

·  无论使用者如何动作,到了 13125 ,大约是 2005/12/8 左右,该账号就失效了~

 

查看当前日期所对应的数字echo $(($(date --date="2008/09/04" +%s)/86400+1))——————貌似最终结果不对

参考:http://vbird.dic.ksu.edu.tw/linux_basic/fedora_4/0410accountmanager-fc4.php#account_user

所以,需求可改为:密码有效期120天  密码失效前14天发出警告,失效后14天内能登陆


用户名:密码:16695:0:120:14:14::

 

 

 

4 登陆错误N次后自动锁定N分钟

在字符终端下,实现某一用户连续错误登陆N次后,就锁定该用户X分钟。
执行 vi /etc/pam.d/sshd

 

/etc/pam.d/login中配置只在本地文本终端上做限制;

/etc/pam.d/kde(suse为gdm)在配置时在kde图形界面调用时限制;

/etc/pam.d/sshd中配置时在通过ssh连接时做限制;

/etc/pam.d/system-auth中配置凡是调用 system-auth 文件的服务,都会生效


在#%PAM-1.0 下新起一行,加入

auth required pam_tally2.so deny=3 unlock_time=5 even_deny_rootroot_unlock_time=10

如果不限制root用户,则可以写成

auth required pam_tally2.so deny=3 unlock_time=5

其中大概含义如下:
even_deny_root    也限制root用户;
deny           设置普通用户和root用户连续错误登陆的最大次数,超过最大次数,则锁定该用户;
unlock_time        设定普通用户锁定后,多少时间后解锁,单位是秒;
root_unlock_time      设定root用户锁定后,多少时间后解锁,单位是秒

 

 

解锁与查看失败

可以通过以下指令查看361way用户登录的错误次数及详细信息:

1. pam_tally2 --user aaa

可以通过以下命令清空361way用户的错误登录次数,即手动解锁:

1. pam_tally2 --user aaa --reset

同样,使用faillog -r命令也可以进行解锁

 

此处使用的是 pam_tally2 模块,如果不支持 pam_tally2 可以使用 pam_tally 模块。另外,不同的pam版本,设置可能有所不同,具体使用方法,可以参照相关模块的使用规则。

 

 

 

 

 

snmpV3配置:(cacti可用到)

VNC挂载安装包,然后安装

yum –y install net-snmp*

useradd snmp

 

passwd snmp

 

service snmpd stop

 

net-snmp-config --create-snmpv3-user -ro -aaaaaaaaa -A MD5 snmp

 

service snmpd start

 

chkconfig snmpd on

 

snmpwalk -v3 -u snmp -l auth -a MD5 -A aaaaaaaa 127.0.0.1if

 

 

 

 

操作:

 

1root用户  其他的都限制使用su命令的权限

/etc/pam.d/su下加入:

 

auth required pam_wheel.so

3 定时修改密码

/etc/shadow

用户名:密码:16695:0:120:14:14::

4 登陆错误8次后自动锁定30分钟

vi /etc/pam.d/sshd   (root用户也算进去)

在#%PAM-1.0 下新起一行,加入

auth required pam_tally2.so deny=8 unlock_time=1800 even_deny_rootroot_unlock_time=1800

vi /etc/pam.d/gdm(root用户不算)

#%PAM-1.0 下新起一行,加入

auth required pam_tally2.so deny=8unlock_time=1800

 

 

 

 

 

在日志服务器上放行514端口

iptables –A INPUT -m state--state NEW -m tcp -p tcp --dport 514 –j ACCEPT

 

 

iptables –A  INPUT -p udp -m state -m udp --dport 514--state NEW -j ACCEPT


   

 

新建帐号:

useradd   -g 0 -m -d /home/aaaa  -s  /bin/bash  aaaa


更改连接传输限制

vi /etc/security/limits.conf

*     soft   nofile 65535

*     hard   nofile  65535



1. 主机口令由大小写字母、数字、特殊字符组成,至少8位,(vi /etc/login.defs PASS_MIN_LEN   8)每六个月更换一次 设备8次登陆失败自动锁定10分钟(echo"auth required pam_tally2.so deny=8 unlock_time=600 even_deny_root root_unlock_time=600">>/etc/pam.d/sshd),记录登陆失败日志,并且发送报警邮件;          

echo "auth required pam_tally2.sodeny=8 unlock_time=600 even_deny_root root_unlock_time=600">>/etc/pam.d/sshd

chmod 777 /var/log/usermonitor.log

 

密码180天修改 sed-i's#99999#180#'/etc/login.defs

 

/etc/pam.d/su 或者vi /etc/pam.d/su-l

 

打开auth           required        pam_wheel.souse_uid

(要有#号,没有的话su –root时不用输密码)

 


新建用户: 

useradd -g 10 -m -d /home/luohy  -s  /bin/bash  luohy


 

 修改用户密码:


echo 'abc'| passwd --stdin luohy


 

 

禁止root通过ssh登录

 

echo "PermitRootLogin no">>/etc/ssh/sshd_config

service sshd restart

 

 

 

登录失败次数echo "auth required pam_tally2.so deny=8 unlock_time=600 even_deny_root


root_unlock_time=600" >>/etc/pam.d/sshd

 

echo "auth required pam_tally2.sodeny=8 unlock_time=600 even_deny_root root_unlock_time=600">>/etc/pam.d/sshd


审计记录/var/log/audit/audit.log


开启审计功能:auditctl -e1    rcauditd restart


检查属主:stat -c %U filename  删除无属主文件:find / -nouser -exec rm -rf {} \;



19. 关闭BOOTP服务

检查LINUX服务器        netstat -anptu|grep 68检查端口,如果有,则

service dhcpd stop

chkconfig dhcpd off

 

 

25.统一同步时间centos

service ntpd status

service ntpd stop

chkconfig ntpd off

/usr/sbin/ntpdate 172.28.8.190

 

crontab-e              

 

#时间同步

* */1 * * * /usr/sbin/ntpdate 172.28.8.190

 

suse

 

可视化操作:

control center——system——date and time

 

 

 

49.将文件进行属主分配或及时删除

 

find / -nouser -exec rm -rf {} \;

 

50.先查看是否有审计记录

cat /var/log/audit/audit.log

 

如没有:则开启审计功能:

 

auditctl -e1   

rcauditd restart

 

再查看是否有审计记录

cat /var/log/audit/audit.log

 

 

 

32. 更新openssl版本(Heartbleed心脏出血

wgethttp://www.openssl.org/source/openssl-1.0.1h.tar.gz 

tar zxvf openssl-1.0.1h.tar.gz 

cd openssl-1.0.1h

 

./config --prefix=/usr/local/openssl 

make && make install 

mv /usr/bin/openssl/usr/bin/openssl.OFF 

mv /usr/include/openssl/usr/include/openssl.OFF 

ln -s /usr/local/openssl/bin/openssl/usr/bin/openssl 

ln -s /usr/local/openssl/include/openssl/usr/include/openssl 

echo"/usr/local/openssl/lib">>/etc/ld.so.conf 

ldconfig -v 

openssl version -a

 

 

 

 

 

 

 

 

 

操作

 


 

 

cp/nfs8205/soft/openssl-1.0.1t.tar.gz /opt/

cd /opt/

tar -zxvfopenssl-1.0.1t.tar.gz

cd /opt/openssl-1.0.1t/

./config--prefix=/usr/local/openssl 

make && makeinstall 

mv /usr/bin/openssl/usr/bin/openssl.OFF 

mv /usr/include/openssl /usr/include/openssl.OFF 

ln -s/usr/local/openssl/bin/openssl /usr/bin/openssl 

ln -s/usr/local/openssl/include/openssl /usr/include/openssl 

echo"/usr/local/openssl/lib">>/etc/ld.so.conf 

ldconfig -v 

cat /var/log/audit/audit.log

openssl version -a

 

 

 

 

cat /var/log/audit/audit.log

 

如没有:则开启审计功能:

 

auditctl -e1   

rcauditd restart

 

再查看是否有审计记录

 

 

 

 

 

 

 

suse

 

可视化操作:

control center——system——date and time