项目系统安全优化二(linux优化)

引言

在过去的一年里，小猿写了关于linux安全优化的首篇文章，第一篇文章可能做不到经善尽美，但笔者一直朝着这个方向努力，最近接到安全公司的整改通知要求笔者在限期内整改系统， 笔者将整改的过程记录并与大家分享，希望能帮到各位童鞋。

密码登录及相关策略

login

vim /etc/login.defs
PASS_MAX_DAYS   90
PASS_MIN_DAYS   2
PASS_MIN_LEN    8
PASS_WARN_AGE   7

system-auth

vim /etc/pam.d/system-auth 
#这边显示是本地账户口令输错3次，锁定60秒，包括最高管理员root账户，这个登录失败次数和锁定时间可以自行设定，建议10次20分钟
auth     required    pam_tally2.so onerr=fail   deny=10 unlock_time=1200 even_deny_root root_unlock_time=1200
#我们设置新密码不能和旧密码相同，同时新密码至少8位，还要同时包含大字母、小写字母和数字
password    requisite     pam_pwquality.so try_first_pass local_users_only retry=3 authtok_type=  difok=1 minlen=8 ucredit=-1 lcredit=-1 dcredit=-1

ssh链接相关侧率

sshd

#这边显示是本地账户口令输错3次，锁定60秒，包括最高管理员root账户，这个登录失败次数和锁定时间可以自行设定，建议10次20分钟
Vim  /etc/pam.d/sshd
auth    required    pam_tally2.so onerr=fail   deny=10 unlock_time=1200 even_deny_root root_unlock_time=1200

sshd_config

超时断开

vim  /etc/ssh/sshd_config
#服务端向客户端发送消息间隔 默认为0，表示永不发送，此处设定没60秒发一次
ClientAliveInterval 60
#如果发现客户端没有相应，则判断一次超时，这个参数设置允许超时的次数就是
ClientAliveCountMax 5

profile

无动作断开设置

#600 秒无动作自动断开
TMOUT   600

umask配置

umask配置对于文件权限是至关重要，我们需要将22的umask值改成27的umask值。

vim /etc/login.defs
umask  27

日志优化

vim      /etc/logrotate.conf
rotate   28

历史命令队列配置

vim  /etc/profile
HISTSIZE=5

扫毒

扫毒请查看小猿的linux杀毒软件clamav安装。