相信很多小伙伴都很苦恼被黑客入侵,这里有一些基本安全配置方法可供大家参考。
1.防止任何人使用su命令成为root(删除系统中多余的帐号,则不必做该项)
如果不想任何人都可以用“su”命令成为root 或 只让某些用户有权使用“su”命令,须在“/etc/pam.d/su”文件的头部加入下面两行,确保只有“wheel”组的成员才能用su 命令成为root:
auth sufficient bcurity/pam_rootok.so
auth required bcurity/pam_wheel.so use_uid
然后使用“usermod -a -G10 用户名“命令将需要su成为root的用户添加到wheel用户组。
2.安装安全补丁
及时获得最新的安全补丁,经测试不会对系统上所运行的应用造成不良影响后,及时安装补丁程序。保持系统始终处于安装了必要的最新安全补丁状况。
3.设置合适的口令策略文件
编辑/etc/login.defs文件,设置合适的口令策略文件,包括最小口令长度、口令使用期限等,例如设置“PASS_MIN_LEN 8“,即默认的最小口令长度为8。
/etc/login.defs :
# PASS_MAX_DAYS Maximum number of days a password may be used.
# PASS_MIN_DAYS Minimum number of days allowed between password changes.
# PASS_MIN_LEN Minimum acceptable password length.
# PASS_WARN_AGE Number of days warning given before a password expires.
PASS_MAX_DAYS 90
PASS_MIN_LEN 8
启用口令策略以达到一定的复杂度:
vi /etc//pam.d/passwd
文件的头部加入password required pam_cracklib.so retry=3 difok=8 minlen=5
限制最大同时登录的会话数
/etccuritymits.conf 中加入
* hard maxlogins 8
/etc/pam.d/login 中加入
session required b64curity/pam_limits.so
如是32位版的linux(uname –m 检查操作系统版本),文件名应改为bcurity/pam_limits.so
需重启sshd服务(service sshd restart)。
4.帐号锁定
/etc/pam.d/system-auth :(下面两条放到sufficient条目之前)
auth required b64curity/pam_tally.so onerr=fail
account required b64curity/pam_tally.so deny=30 reset
如是32位版的linux,文件名应改为bcurity/pam_tally.so
需重启sshd服务(service sshd restart)。
5.网络访问控制
禁止root远程登录
/etc/ssh/sshd_config : (修改下面两条,需重启service sshd restart)
PermitRootLogin no
MaxAuthTries 6
屏蔽banner信息
/etc/ssh/sshd_config :
注释掉banner的相关条目
#Banner /some/path
6.设置初始文件权限
~/.bash_profile : (针对每一用户,该配置文件中增加一行)
umask 077 #适用root用户,其它用户不可读
umask 022 #适用非root用户,其它用户可读不可写
7.设置合适的历史命令数量
编辑“/etc/profile”文件,确保HISTFILESIZE和HISTSIZE都设成了一个比较小的值。
export HISTSIZE=80
export HISTFILESIZE=80
8.设置系统自动注销帐号功能
编辑/etc/profile文件,确保其中TMOUT参数设置了合适的值,例如600(10分钟),即可设置自动注销帐号功能。
由睿江云运维人员提供,想了解更多,请登录
www.eflycloud.com吧!