這篇文章主要介紹怎么做好Linux系統(tǒng)安全加固之賬號(hào)安全，文中介紹的非常詳細(xì)，具有一定的參考價(jià)值，感興趣的小伙伴們一定要看完！

呼和浩特網(wǎng)站制作公司哪家好，找創(chuàng)新互聯(lián)！從網(wǎng)頁(yè)設(shè)計(jì)、網(wǎng)站建設(shè)、微信開(kāi)發(fā)、APP開(kāi)發(fā)、成都響應(yīng)式網(wǎng)站建設(shè)等網(wǎng)站項(xiàng)目制作，到程序開(kāi)發(fā)，運(yùn)營(yíng)維護(hù)。創(chuàng)新互聯(lián)公司2013年成立到現(xiàn)在10年的時(shí)間，我們擁有了豐富的建站經(jīng)驗(yàn)和運(yùn)維經(jīng)驗(yàn)，來(lái)保證我們的工作的順利進(jìn)行。專注于網(wǎng)站建設(shè)就選創(chuàng)新互聯(lián)。

1. 設(shè)置密碼策略

[root@lkjtest ~]# cat /etc/login.defs |grep -v "#" |grep PASS PASS_MAX_DAYS 180 PASS_MIN_DAYS 0 PASS_MIN_LEN 5 PASS_WARN_AGE 7

參數(shù)說(shuō)明：

• PASSMAXDAYS：設(shè)置密碼的過(guò)期日期

• PASSMINDAYS：密碼最小更改日期

• PASSMINLEN ：密碼的最小長(zhǎng)度

• PASSWARNAGE ：密碼到期提前告警的天數(shù)

2. 限制用戶遠(yuǎn)程登陸

vim /etc/pam.d/sshd #%PAM-1.0  auth required pam_tally2.so deny=3 unlock_time=300 even_deny_root root_unlock_time=10

注意點(diǎn)：添加的內(nèi)容一定要添加在前面，即“#%PAM-1.0”  之后，如果寫在后面，雖然用戶被鎖定，但只要用戶名和密碼正確，依然是可以成功登陸進(jìn)去的。

參數(shù)說(shuō)明：

• evendenyroot : root用戶也限制。

• deny ：設(shè)置普通用戶和root用戶連續(xù)錯(cuò)誤登陸的***次數(shù)，超過(guò)***次數(shù)，則鎖定該用戶.

• unlock_time ：普通用戶鎖定后，多長(zhǎng)時(shí)間后解鎖，單位是秒。

• rootunlocktime ：root用戶鎖定后，多少時(shí)間后解鎖，單位是秒。

3. 限制用戶從tty登陸

vim /etc/pam.d/login #%PAM-1.0  auth required pam_tally2.so deny=3 lock_time=300 even_deny_root root_unlock_time=10

注意點(diǎn)：添加的內(nèi)容一定要添加在前面，即“#%PAM-1.0”  之后，如果寫在后面，雖然用戶被鎖定，但只要用戶名和密碼正確，依然是可以成功登陸進(jìn)去的。

參數(shù)說(shuō)明：

• evendenyroot : root用戶也限制。

• deny ：設(shè)置普通用戶和root用戶連續(xù)錯(cuò)誤登陸的***次數(shù)，超過(guò)***次數(shù)，則鎖定該用戶.

• unlock_time ：普通用戶鎖定后，多長(zhǎng)時(shí)間后解鎖，單位是秒。

• rootunlocktime ：root用戶鎖定后，多少時(shí)間后解鎖，單位是秒。

4. 查看用戶登陸失敗次數(shù)

[root@localhost]# pam_tally2 --user root  Login Failures Latest failure From root 0

5. 解鎖指定用戶

[root@localhost ~]# pam_tally2 -r -u root  Login Failures Latest failure From root 0

6. 設(shè)置口令復(fù)雜度

編輯 /etc/pam.d/system-auth 找到pam_cracklib,在后加一些參數(shù)具體如下： [root@lkjtest ~]# cat /etc/pam.d/system-auth |grep cracklib password requisite pam_cracklib.so retry=5 difok=3 minlen=10 ucredit=-1 lcredit=-1 dcredit=-1 ocredit=-1

參數(shù)說(shuō)明：

• retry=5：表示允許輸入5次

• difok=3：新密碼與舊密碼不同的個(gè)數(shù)為3

• minlen=10：密碼長(zhǎng)度至少10位

• ucredit=-1 ：至少一位大寫字母

• lcredit=-1：至少一位小寫字母

• dcredit=-1：至少一位數(shù)字

• ocredit=-1：其他字符至少一位

7. 限制su的權(quán)限

如果你不想任何人能夠用su作為root，可以通過(guò)以下限制：

編輯/etc/pam.d/su文件，增加如下兩行： auth sufficient pam_rootok.so debug auth required pam_wheel.so group=admin

只有admin組的用戶才能su

8. 設(shè)置用戶登陸的時(shí)間段

有時(shí)為了系統(tǒng)登陸的安全，我們需要限制用戶只能在特定的時(shí)間段才允許登陸主機(jī)，可以通過(guò)以下設(shè)置。

#vi /etc/pam.d/sshd 添加如下內(nèi)容： account required pam_time.so # vi /etc/security/time.conf  添加如下內(nèi)容： sshd;*;admin;!Th3100-2300

time.conf參數(shù)說(shuō)明：

• sshd：表示僅對(duì)ssh程序限制

• *：表示任何終端，也可以指定終端如tty1,tty2等

• admin：表示僅對(duì)admin用戶限制

• !Tu2200-2230 ：允許登錄時(shí)間是周四2100-2300之外

9. 特別帳號(hào)的處理

如果不啟動(dòng)用sendmail,刪除如下用戶

[root@localhost]# userdel adm [root@localhost]# userdel lp [root@localhost]# userdel sync [root@localhost]# userdel shutdown [root@localhost]# userdel halt [root@localhost]# userdel mail

如果不用X windows服務(wù)器.可有刪除

[root@localhost]# userdel news [root@localhost]# userdel uucp [root@localhost]# userdel operator [root@localhost]# userdel games

如果不允許匿名FTP帳號(hào)登陸,可刪除

[root@localhost]# userdel gopher [root@localhost]# userdel ftp

10.設(shè)置注銷用戶的時(shí)間及歷史命令數(shù)

[root@tp ~]# vi /etc/profile ... HOSTNAME=`/bin/hostname` HISTSIZE=1000 //這里1000代表用戶操作命令的歷史記錄，應(yīng)盡量小一些，設(shè)置成0也可以。 tmout=600 //表示如果系統(tǒng)用戶在600秒(10分鐘)內(nèi)不做任何操作,將自動(dòng)注銷這個(gè)用戶.

11. 防暴力破解

針對(duì)用戶的防暴力破解，通常采用以下方法

• hostDenyHosts ：此軟件的具體使用方法，可以參考官方文檔。

• 編寫腳本檢查/var/log/secure訪問(wèn)日志文件：通過(guò)統(tǒng)計(jì)日志文件中的登陸失敗的ip，并將達(dá)到閾值的ip添加到/etc/hosts.deny來(lái)拒絕某個(gè)ip的再次訪問(wèn)。

以上是“怎么做好Linux系統(tǒng)安全加固之賬號(hào)安全”這篇文章的所有內(nèi)容，感謝各位的閱讀！希望分享的內(nèi)容對(duì)大家有幫助，更多相關(guān)知識(shí)，歡迎關(guān)注創(chuàng)新互聯(lián)行業(yè)資訊頻道！