Linux服务器基础安全防护配置

1、用户口令设置

账号与口令-用户口令设置，配置用户口令强度检查达到12 位，要求用户口令包括数字、小写字母、大写字母和特殊符号4 类中至少2 类，密码有效期为90天；

1、不允许存在简单密码，密码设置至少包括一个数字和一个特殊字符，长度至少 为 12 位2、修改已有用户的口令生存期和过期告警天数3、密码有效天数设置为90天

1.1、口令周期

sudo vim /etc/login.defs# 修改/etc/login.defs文件值如下：PASS_MAX_DAYS90PASS_MIN_DAYS0PASS_MIN_LEN8PASS_WARN_AGE7# 检查cat /etc/login.defs | grep PASS

1.2、密码复杂度策略

sudo vim /etc/pam.d/system-auth# 在/etc/pam.d/system-auth中新增：password    requisite     pam_cracklib.so try_first_pass retry=5 dcredit=-1 lcredit=-1 ucredit=-1 ocredit=-1 minlen=8 remember=5# 检查cat /etc/pam.d/system-auth | grep password

2、删除无用的特殊账号

检查是否存在如下不必要账户：lp, sync, shutdown, halt, news, uucp, operator, games, gopher等；

操作建议：#userdel -r user删除user用户

sudo userdel -r lpsudo userdel -r syncsudo userdel -r shutdownsudo userdel -r haltsudo userdel -r operatorsudo userdel -r games# 检查cat /etc/passwd

3、帐号锁定

设置帐号在3次连续尝试认证失败后锁定，锁定时间为5分钟，避免用户口令被暴力破解

sudo vim /etc/pam.d/sshd# 增加下列内容：auth       required     pam_tally2.so deny=5 unlock_time=300 even_deny_root root_unlock_time=300# 检查cat /etc/pam.d/sshd | grep auth

4、账号权限

账号与口令检查除ROOT外是否有其他账户拥有shell 权限

建议：无非root账户设置 /bin/bash 或 /bin/sh 权限