這篇文章主要講解了“l(fā)inux安全加固腳本怎么寫”，文中的講解內(nèi)容簡(jiǎn)單清晰，易于學(xué)習(xí)與理解，下面請(qǐng)大家跟著小編的思路慢慢深入，一起來(lái)研究和學(xué)習(xí)“l(fā)inux安全加固腳本怎么寫”吧！

成都創(chuàng)新互聯(lián)是一家專業(yè)提供望謨企業(yè)網(wǎng)站建設(shè),專注與網(wǎng)站制作、成都網(wǎng)站制作、H5網(wǎng)站設(shè)計(jì)、小程序制作等業(yè)務(wù)。10年已為望謨眾多企業(yè)、政府機(jī)構(gòu)等服務(wù)。創(chuàng)新互聯(lián)專業(yè)網(wǎng)絡(luò)公司優(yōu)惠進(jìn)行中。

代碼如下：

#linux加固腳本
#!/bin/bash
#
#version1.0;
#write at 2021-08-27;
#write by jiangzhehao;
#只在centos7上測(cè)試過(guò)
#1、賬號(hào)安全
#1.1 賬號(hào)加固
#備份文件
cp /etc/login.defs /etc/login.defs.bak
echo "對(duì)密碼安全策略進(jìn)行加固，設(shè)置密碼存在時(shí)間、密碼長(zhǎng)度、密碼過(guò)期提醒！"
read -p "設(shè)置密碼有效時(shí)間(建議90天)：" A
read -p "設(shè)置密碼最短長(zhǎng)度（建議8位）：" C
read -p "設(shè)置密碼過(guò)期提醒（建議15天）：" D
sed -i '/^PASS_MAX_DAYS/c\PASS_MAX_DAYS   '$A /etc/login.defs
sed -i '/^PASS_MIN_DAYS/c\PASS_MIN_DAYS   '0 /etc/login.defs
sed -i '/^PASS_MIN_LEN/c\PASS_MIN_LEN    '$C /etc/login.defs
sed -i '/^PASS_WARN_AGE/c\PASS_WARN_AGE   '$D /etc/login.defs
echo "加固已完成。"
echo "*****************************************************************************************"
#
echo "對(duì)密碼安全策略進(jìn)行加固，新用戶不得和舊密碼相同，且新密碼必須同時(shí)包含大寫字母、小寫字母、數(shù)字！"
#備份文件
cp /etc/pam.d/system-auth /etc/pam.d/system-auth.bak
sed -i '/pam_pwquality.so/c\password requisite pam_pwquality.so try_first_pass local_users_only retry=3 authtok_type= difok=1 minlen=8 ucredit=-1 lcredit=-1 dcredit=-1' /etc/pam.d/system-auth
echo "加固已完成。"
echo "*****************************************************************************************"
#
echo "對(duì)密碼進(jìn)行加固，如果輸入錯(cuò)誤密碼超過(guò)3次，則鎖定賬戶！"
sed -i '/^auth        required      pam_deny.so/i\auth        required      pam_tally.so onerr=fail deny=10 unlock_time=300' /etc/pam.d/system-auth
echo "被鎖定的用戶可以使用 faillog -u root -r  解除鎖定。"
echo "加固已完成。"
echo "*****************************************************************************************"
#
echo "禁止root用戶ssh遠(yuǎn)程登錄,需要root用時(shí)，使用su切換！"
#備份文件
cp /etc/ssh/sshd_config /etc/ssh/sshd_config.bak 
sed -i '/PermitRootLogin/c\PermitRootLogin no' /etc/ssh/sshd_config
echo "加固已完成。"
echo "*****************************************************************************************"
#
echo "限制遠(yuǎn)程登錄主機(jī)地址！"
read -p "設(shè)置遠(yuǎn)程登錄地址段(格式為10.1.*.*)：" E
sed -i '/ListenAddress /i\ALLOWUSERS *@'$E'' /etc/ssh/sshd_config
echo "加固已完成。"
echo "*****************************************************************************************"
#
echo "清除信任主機(jī)列表（信任主機(jī)登錄不需要驗(yàn)證）！"
echo "" > /etc/hosts.equiv
echo "" > /$home/.rhosts
echo "加固已完成。"
echo "*****************************************************************************************"
#
echo "history設(shè)置優(yōu)化（建議保存條數(shù)1000條，超時(shí)時(shí)間為300秒）！"
read -p "設(shè)置歷史命令保存條數(shù)（建議1000）：" F
read -p "設(shè)置賬戶自動(dòng)注銷時(shí)間（建議300）：" G
sed -i '/^HISTSIZE/c\HISTSIZE='$F'' /etc/profile
sed -i '/^HISTSIZE/a\TMOUT='$G'' /etc/profile
echo "加固已完成。"
echo "*****************************************************************************************"
#
#1.2用戶檢查
echo "即將對(duì)系統(tǒng)中的賬戶進(jìn)行檢查......"
echo "系統(tǒng)中有登錄權(quán)限的用戶有："
awk -F: '($7=="/bin/bash"){print $1}' /etc/passwd
echo "********************************************"
echo "系統(tǒng)中UID=0的特權(quán)用戶有："
awk -F: '($3=="0"){print $1}' /etc/passwd
echo "********************************************"
N=`awk -F: '($2==""){print $1}' /etc/shadow|wc -l`
echo "系統(tǒng)中空密碼用戶有：$N"
if [ $N -eq 0 ];then
 echo "恭喜你，系統(tǒng)中無(wú)空密碼用戶！！"
 echo "********************************************"
else
 i=1
 while [ $N -gt 0 ]
 do
 None=`awk -F: '($2==""){print $1}' /etc/shadow|awk 'NR=='$i'{print}'`
 echo "------------------------"
 echo $None
 echo "必須為空用戶設(shè)置密碼??！"
 passwd $None
 let N--
 done
 M=`awk -F: '($2==""){print $1}' /etc/shadow|wc -l`
 if [ $M -eq 0 ];then
 echo "恭喜，系統(tǒng)中已經(jīng)沒有空密碼用戶了！"
 else
echo "系統(tǒng)中還存在空密碼用戶：$M"
 fi
fi
#
#2、文件系統(tǒng)安全加固
#設(shè)置umask值
echo "設(shè)置umask值為077！"
sed -i '/^UMASK/c\UMASK           077' /etc/login.defs
echo "加固已完成。"
echo "*****************************************************************************************"
#
#3、禁用不需要的服務(wù)
/sbin/chkconfig ip6tables off
/sbin/chkconfig avahi-daemon off
/sbin/chkconfig avahi-DNSconfd off
#
#4、設(shè)置需要開啟的端口
#yum install iptables-services -y
#systemctl start iptables
#iptables -F
#iptables -P INPUT DROP
#iptables -A INPUT -p tcp --dport 22

感謝各位的閱讀，以上就是“l(fā)inux安全加固腳本怎么寫”的內(nèi)容了，經(jīng)過(guò)本文的學(xué)習(xí)后，相信大家對(duì)linux安全加固腳本怎么寫這一問(wèn)題有了更深刻的體會(huì)，具體使用情況還需要大家實(shí)踐驗(yàn)證。這里是創(chuàng)新互聯(lián)，小編將為大家推送更多相關(guān)知識(shí)點(diǎn)的文章，歡迎關(guān)注！