Linux添加服务器安全策略

查看系统版本:cat /etc/issue

密码过期设置:在文件/etc/login.defs中进行设置，如下参数

PASS_MAX_DAYS   180  #密码最长过期天数,默认99999无限制
PASS_MIN_DAYS   30  #密码最小过期天数,默认0
PASS_MIN_LEN    12  #密码最小长度,默认4
PASS_WARN_AGE   20   #密码过期警告天数,默认7

登录口令安全设置:

        服务器登录:

vi /etc/pam.d/login    #编辑此文件,在第一行添加以下内容

auth       required     pam_tally2.so onerr=fail deny=5 unlock_time=300 even_deny_root root_unlock_time=300
# 连续登录失败; 错误5次; 锁定300秒; root用户锁定300秒;

         SSH登录:

vi /etc/pam.d/sshd    # 编辑此文件在首行添加以下内容

auth       required     pam_tally2.so onerr=fail deny=5 unlock_time=300 even_deny_root root_unlock_time=300
# 连续登录失败; 错误5次; 锁定300秒; root用户锁定300秒;

         登录自动退出设置:

vi /etc/profile    # 在此文件最后添加以下内容

# 设置无操作自动退出时间(秒)
TMOUT=1200

        保存退出后:source /etc/profile        使配置生效 

限制访问IP:

vi /etc/hosts.allow    # 在此文件中添加允许访问的IP

sshd:127.0.0.1:allow    #127.0.0.1允许登录
sshd:127.0.0.2:allow
...
sshd:192.168.3.*:allow    #192.168.3段的所有IP都可以登录

#多个用户名@IP之间使用空格分隔
AllowUsers [email protected] [email protected]   #允许192.168.4.1主机以keyso身份登录,允许192.168.4.2主机以root身份登录

vi /etc/hosts.deny    #在此文件中添加以下内容,禁止访问IP

sshd:ALL    #除了上面允许的IP外,其他的都禁止访问