linux安全配置项

冷不防 2022-06-12 03:47 212阅读 0赞

linux安全配置项

1.删除不需要的帐号：  
cp /etc/passwd /etc/passwd.bak  
删除用户：  
userdel  
groupdel 删除用户组，需要确认该组是否还有其余用户，有则谨慎删除

更改用户的shell  
vi /etc/passwd

2.设置密码过期策略：  
查看密码有效期，默认为99999

cat /etc/login.defs | grep -i PASS_MAX_DAYS
    # PASS_MAX_DAYS Maximum number of days a password may be used.
    PASS_MAX_DAYS   99999

备份  
cp /etc/login.defs /etc/login.defs.bak

vi /etc/login.defs将PASS\_MAX\_DAYS修改为有效期天数  
例如：  
PASS\_MAX\_DAYS 90

3.设置登录超时  
查看目前设置的登录超时，默认不超时  
cat /etc/profile | grep -i tmout

cp /etc/profile /etc/profile.bak

添加登录超时配置：  
10分钟超时  
TMOUT=600  
readonly TMOUT  
export TMOUT

4.设置历史命令的显示运行时间以及记录的行数：  
cp /etc/profile /etc/profile.bak  
添加如下：  
显示时间的格式  
export HISTTIMEFORMAT=’%F %T ’  
显示记录行数：  
HISTFILESIZE=100

5.设置禁止空口令及口令历史  
默认已禁止空口令  
修改如下项：  
auth sufficient pam\_unix.so nullok try\_first\_pass  
password sufficient pam\_unix.so sha512 shadow nullok try\_first\_pass use\_authtok remember=4

6.设置ssh配置：  
vi /etc/ssh/ssh\_config  
找到如下的行，修改为no：  
不允许root通过ssh直接登录  
PermitRootLogin no  
UseDNS去掉行首的\#号，并修改为no：（加快SSH登陆）  
UseDNS no

不允许使用其他验证方式：  
GSSAPIAuthentication no

7.配置安全日志：  
cp /etc/rsyslog.conf /etc/rsyslog.conf.bak

配置ssh，su登录日志记录：  
vi /etc/rsyslog.conf  
authpriv.\* /var/log/secure  
重启syslogd  
/etc/rc.d/init.d/syslog restart

8.设置密码长度：  
vi /etc/login.defs

PASS\_MIN\_LEN 8  
PASS\_WARN\_AGE 7

9.设置口令复杂度  
vi /etc/pam.d/system-auth  
password requisite pam\_pwquality.so try\_first\_pass local\_users\_only retry=3 authtok\_type= minclass=3

10.禁用selinux  
vi /etc/selinux/config  
SELINUX=disabled

11.敏感文件权限修改：  
/etc/passwd和/etc/group权限修改为644，/etc/shadow修改应该为400或000：

linux安全配置项

发表评论取消回复

还没有评论，来说两句吧...

相关阅读

相关 APP 安全测试项总结

相关《Linux运维实战：Memcache安全配置》

相关 Linux 服务器安全配置（上篇）

相关 Linux 服务器安全配置（上篇）

相关 Linux配置启动项，自启动服务

相关 linux安全配置项

相关 Linux服务器下nginx的安全配置

相关 storm配置项

相关 Storm配置项

相关 Linux Mysql数据库安全配置