美文网首页Java 杂谈简友广场工具癖
Linux 服务器安全策略配置

Linux 服务器安全策略配置

作者: 划破的天空 | 来源:发表于2019-08-16 23:05 被阅读1次

    密码策略

    修改密码过期策略

    修改/etc/login.defs文件,控制密码的有效期

    # 密码最长过期天数
    PASS_MAX_DAYS   90  
    # 密码最小过期天数
    PASS_MIN_DAYS   0 
    # 密码最小长度
    PASS_MIN_LEN    16  
    # 密码过期警告天数
    PASS_WARN_AGE   7   
    

    查看密码策略

    chage -l 用户名

    $ chage -l | root
    
    # 最近修改密码时间
    Last password change    : Jan 24, 2018
    # 密码过期时间
    Password expires        : never
    # 密码失效时间
    Password inactive       : never
    # 
    Account expires         : never
    # 两次改变密码之间间距的最小天数
    Minimum number of days between password change      : 0
    # 两次改变密码之间间距的最大天数
    Maximum number of days between password change      : 99999
    # 在密码过期之前警告的天数
    Number of days of warning before password expires   : 7
    

    修改密码复杂度策略

    控制密码复杂度,需已安装pam_cracklib,centos已默认安装

    修改/etc/etc/pam.d/system-auth文件,添加如下语句,需放置在最前面,否则可能不生效

    password    requisite     pam_cracklib.so retry=5  difok=3 minlen=10 ucredit=-1 lcredit=-3 dcredit=-3 dictpath=/usr/share/cracklib/pw_dict
    

    参数说明

    参数 描述
    retry 重试次数
    difok 密码中需要多少个不同字符
    minlen 密码最小长度
    ucredit 密码中需要多少个大写字符
    lcredit 密码中需要多少个小写字符
    dcredit 密码中需要多少个数字类型
    dictpath 密码字典路径

    登录失败策略

    Linux登录失败

    IP白名单策略

    1 修改/etc/hosts.allow文件,增加允许通过SSH连接的客户端IP

    # 单个IP
    sshd:119.137.2.243
    # IP地址段
    sshd:119.137.2.
    

    2 修改/etc/hosts.deny文件,增加禁止通过SSH连接的客户端IP

    # 禁止所有IP
    sshd:ALL
    # 禁止telnet
    in.telnetd:ALL
    

    3 重启sshd服务和xinetd(可选)服务,使之生效

    service sshd restart
    service xinetd restart
    

    如果hosts.allow和hosts.deny文件均包含同一ip,则以hosts.all文件为准,如果只是单独配置了hosts.all文件,并没有在hosts.deny文件禁止,依然不生效

    https://www.fank243.com/posts/c6c26810.html

    相关文章

      网友评论

        本文标题:Linux 服务器安全策略配置

        本文链接:https://www.haomeiwen.com/subject/mlvcsctx.html