一.定期更改用户的密码.定义密码不能使用简单密码.

  要求密码一定要由字母,数字和字符构成,密码长度一定要超过X位.

  1. 定期更改用户的密码:需要更改密码的最大有效期.PASS_MAX_DAYS

    可以更改用户的模板/etc/login.defs  .PASS_MAX_DAYS    99999

  2. 用户登陆限制,密码要求:修改文档/etc/pam.d/system.auth  配置文档如下

    auth        required      pam_env.so

    #限定每一个用户的登录失败次数,如果失败次数达到3次,则锁定用户10分钟
    auth        required    pam_tally2.so   per_user  deny=3  unlock_time=10

    #
    auth        sufficient    pam_unix.so nullok try_first_pass
    auth        requisite     pam_succeed_if.so uid >= 500 quiet
    auth        required      pam_deny.so

    account     required      pam_unix.so
    account     sufficient    pam_localuser.so
    account     sufficient    pam_succeed_if.so uid < 500 quiet
    account     required      pam_permit.so
    #设置密码复杂程度. minlen=x(最小密码长度) ucredit=-x(最少x个大写字母) lcredit=-x(最少x个小写字母) dcredit=-x (最少x个数字) ocredit=-x  (最少X个特殊字符)
    password    requisite     pam_cracklib.so try_first_pass retry=3 minlen=10 ucredit=-1 lcredit=-1  dcredit=-1  ocredit=-1
    password    sufficient    pam_unix.so sha512 shadow nullok try_first_pass use_authtok
    password    required      pam_deny.so

    session     optional      pam_keyinit.so revoke
    session     required      pam_limits.so
    session     [success=1 default=ignore] pam_succeed_if.so service in crond quiet use_uid
    session     required      pam_unix.so

二.对局域网远程主机访问采用SSH 的加密登陆方式

  1. 设置ssh通过密钥的方式登陆.

    在客户端里面输入命令:ssh-keygen -t rsa(全部回车)

    以不同的用户创建密钥对.就会在系统用户的家目录下的.ssh/

    ls /root/.ssh/

    id_rsa      私钥
    id_rsa.pub 公钥

    ssh-copy-id [email protected]

    将密钥对中的公钥id_rsa.pub上传到指定的服务器上。上传后会自动更名为authorized_keys

ps:

 ssh-copy-id不支持非22号端口,如果已改变ssh端口,可临时改回默认,上传完公钥后再改成特殊端口,不会产生影响。又或者使用scp或rsync的文件上传功能替换ssh-copy-id。示例如下:

 scp -P 8778  .ssh/id_rsa.pub [email protected]:/root/.ssh/authorized_keys

  vim /etc/ssh/sshd_config

  #RSAAuthentication yes  >  RSAAuthentication yes   密钥对ssh的支持

  #PasswordAuthentication yes  >  PasswordAuthentication no  禁止密码方式登陆(可选)

 

2.禁止root远程登陆

   修改/etc/ssh/sshd_config 文件

#PermitRootLogin yes  >  PermitRootLogin no


3.修改ssh 的端口  默认是22 修改为一个大于1024的随机端口

Port 8778
AddressFamily inet   从实际应用考虑,为安全性,只监听 ipv4 地址
ListenAddress 192.168.122.200   明确只监听某个 IP 接口
LoginGraceTime 1m 减少最大的登录时长,但要合理,不能太小,太小的话正常请求都有可能登陆不上。
PermitRootLogin no

因为 root 用户名固定容易被***,通常不允许 root 远程登录,而使用普通用户登录,普通用户名可以随机设置为较复杂(包括密码)。
#StrictModes yes  用户家目录权限检查,默认是 yes
MaxAuthTries 6    重试次数
MaxSessions 10    每个网络连接允许打开的最大会话数
AllowUsers zhangsan

只允许普通用户 zhangsan 远程登录。(注意如果远程操作,一定要提前添加该用户和密码)
X11Forwarding no 不允许转发 X11 图形协议
MaxStartups 10:30:100 sshd 允许的非认证的并发连接数。默认是 10:30:100(如果有 10 个
非认证的连接请求,sshd 拒绝其中的 30%,线性上升至 100 个后拒绝所有连接),根据实际适当调小.

三.禁止root用户多人使用,使用sudo给用户加权

1.命令visudi=  vim etc/sudoers

添加

/所有 admin 组的帐号可以通过 sudo 得到 root 的所有权限

%admin       ALL=(ALL)                                ALL  

使用者账号  登入者的来源主机名=(可切换的身份)        可下达的指令

 

  /系统用户user01的帐号可以通过 sudo 得到 root 的所有权限

   user01       ALL=(ALL)                                ALL 

2.通过sudo.log来查看用户通过sudo执行的所有命令 

在/etc/sudoers 文件中开启日志 sudo自己管理

Defaults logfile = "/var/log/sudo.log"


四.设置用户登陆超时限制


vim /etc/profile.d/autologout.sh


TMOUT=300 (300 秒)
readonly TMOUT
export TMOU


#chmod +x /etc/profile.d/autologout.sh


五.设置系统日志/etc/log/message 轮询 (以每个日志20M来计算轮询)