一、在两个配置文件中指定位置各添加两行内容。后建立普通测试用户
Vim /etc/pam.d/system-auth修改系统认证的模块文件
Auth required pam_tally2.so deny=3 unlock_time=180
Account required pam_tally2.so
Vim /etc/pam.d/password-auth
Auth required pam_tally2.so deny=3 unlock_time=180
Account required pam_tally2.so
Useradd testuser && echo “simple” | passwd –-stdin testuser
密码强度的设定,要求用户口令长度至少为8位,并包括数字、大小写字母
Vim /etc/pam_d/system-auth
Password requisite pam_cracklib.so try_first_pass retry=3 type= difock minlen=8 ucredit=-1 dcredit=-1
Type= 此选项用来修改默认的密码提示文本
Difock= 此选项用来定义新密码中必须有几个字符要与旧密码不同
Minlen=:此选项用来设置新密码的最小长度
Ucredit=用来设置新密码中可以包含大写字母的最大数目。-1至少一次
Lcredit=用来设定新密码中可以包含的小写字母的最大数目
Dcredit用来设定新密码中可以包含数字的最大数目
三、禁止远程登录服务端的root用户
Vim /etc/ssh/sshd_config修改服务端配置文件,将默认的允许以root用户身份功能修改为no
重启ssh服务验证结果
屏蔽ssh的banner信息:cat /etc/sshd_config|grep –I banner
修改账户TMOUT值,设置自动注销时间,保存历史命令的条目也适应减小
Vim /etc/profile
将HISSIZE从1000改为100
HISTSIZE=100
增加如下一行
TMOUT=600时间单位为秒
四、设定新建立用户的密码有效期为3个月
Vim /etc/login.defs修改默认的密码策略文件,其中PASS_MAX_DAYS定义了密码最长有效期。
PASS_MAX_DAYS 90
修改后新建用户tetsuser2验证,用户密码使用90天后必须修改密码
Useradd testuser2
Echo “simple”|passwd –stdin testuser2
Tail –l /etc/shadow
五、锁定系统的重要文件进行安全保护
Chattr +i/etc/passwd /etc/shadow 改变文件属性
+i表示immutable(不可变)
Lsattr /etc/passwd /etc/shadow 查看文件属性,对文件添加了immutable属性后是无法删除文件,即使是root用户也无法删除
六、建立日志服务器
好处:每个工作服务器将自己的日志信息发送给日志服务器进行集中管理,即使有人入侵了服务器并将自己的登录信息删除,但由于日志信息实时与日志服务器同步,保证了日志的完整性。以备工作人员根据日志服务器信息对服务器安全
七、查找系统中具有的SUID/SGID文件
Find / -xdev –type f –perm /6000,其中/6000表示查找匹配具有suid和sgid的文件其他权限。