Linux 服务器安全加固

阅读目录

• 对用户的错误登陆次数进行限制
• 密码强度的设定

 

掌握Linux安全,保证服务器不被轻易攻破

 

对用户的错误登陆次数进行限制

有一些攻击性软件是专门采用猜密码的形式反复进行登录尝试，对于此种情况我们可以调整一下用户登录限制。

使其密码输入3次后自动锁定，设定锁定时间，在锁定时间内及时密码输入正确也无法登录。

通过 PAM模块进行实现, Linux有一个pam_tally2.so的PAM模块，来限定用户的登录失败次数，如果次数达到设置的阈值，则锁定用户

修改系统认证模块

# vim /etc/pam.d/system-auth

 

deny 设置普通用户和root用户连续错误登陆的最大次数，超过最大次数，则锁定该用户;

even_deny_root 也限制root用户;

unlock_time 设定普通用户锁定后，多少时间后解锁，单位是秒;

root_unlock_time 设定root用户锁定后，多少时间后解锁，单位是秒;

 修改密码认证模块

# vim /etc/pam.d/password-auth

创建一个测试账号进行对以上配置进行验证

# useradd usertest && echo "password" | passwd --stdin usertest

 

 在服务端查看已经被锁定的用户

解锁被锁定用户并且再次输入正确密码登陆

回到顶部

 

密码强度的设定

对于密码强度的设定，要求用户口令长度至少为8位，并包括数字、大小写字母

修改系统认证模块

# vim /etc/pam.d/system-auth

password    requisite     pam_cracklib.so try_first_pass retry=3 type= difok=3 minlen=8 ucredit=-1 lcredit=-1 dcredit=-1

type=：此选项用来修改默认的密码提示文本;

difok=：此选项用来定义新密码中必须有几个字符要与旧密码不同;

minlen=：此选项用来设置新密码的最小长度;

ucredit=：此选项用来设定新密码中可以包含的大写字母的最大数目; -1至少一个

lcredit=：此选项用来设定新密码中可以包含的小写字母的最大数目;

dcredit=：此选项用来设定新密码中可以包含数字的最大数目;

 

 验证以上配置

 

后面待续....