1、口令复杂度检查

重新启用某个旧密码,要确保此密码在继上次使用后已被修改过几次。此策略是管理员能够通过确保旧密码不被连续重新使用来增强安全性

参考配置操作,在/etc/pam.d/system-auth配置如下三种方案中的一种

1.1 引用pam_passwdqc.so

添加配置

password required pam_passwdqc.so min=disabled,disabled,12,disabled,8 enforce=everyone

规则解释如下:
1)只包含一种字符的密码,拒绝(大小写,数字,特殊字符分别为4种字符)
2)只包含两种字符的密码,拒绝
3)如果密码中被识别出了常用的单词,那么最小长度就必须为12位。常用单词的最小识别长度为3.(由passphrase=3制定)
4)只包含三种字符的密码,拒绝
5) 包含四种字符的密码,最小长度为8位
6) 这个策略对所有用户都生效。(enforce=everyone )

1.2 引用pam_cracklib.so

添加配置

password requisite pam_cracklib.so try_first_pass retry=3 dcredit=-1 lcredit=-1 ucredit=-1 ocredit=-1 minlen=8

规则解释如下:

1)retry=N,在返回错误之前最多提示用户 N 次,默认值为 1。

2)dcredit=N,(N >= 0) 这是新密码中包含数字的最大信用。如果您的数字少于或 N 位,则每个数字都将计为 +1 以满足当前的 minlen 值。dcredit 的默认值为 1,这是minlen 小于 10 的推荐值。(N < 0)这是新密码必须满足的最小位数。

3)lcredit=N,(N >= 0) 这是新密码中包含小写字母的最大信用。如果您的小写字母少于或 N 个,则每个字母将计为 +1,以符合当前的 minlen 值。lcredit 的默认值为 1,这是 minlen 小于 10 的推荐值。(N < 0)这是新密码必须满足的小写字母的最小数量。

4)ucredit=N,(N >= 0) 这是新密码中包含大写字母的最大信用。如果您的大写字母少于或 N 个,则每个字母将在满足当前 minlen 值时计为 +1。ucredit 的默认值为 1,这是 minlen 小于 10 的推荐值。(N < 0)这是新密码必须满足的最小大写字母数。

5)ocredit=N,(N >= 0) 这是新密码中包含其他字符的最大信用。如果您有少于或 N 个其他字符,则每个字符将在满足当前 minlen 值时计为 +1。ocredit 的默认值为 1,这是 minlen 小于 10 的推荐值。(N < 0)这是新密码必须满足的最小其他字符数。

6)minlen=N,新密码可接受的最小大小(如果未禁用默认值,则加一)。除了新密码中的字符数之外,还为每种不同
类型的字符(其他、大写、小写和数字)赋予信用(长度为 +1)。此参数的默认值为 9,这对于所有相同类型字符的旧式UNIX 密码来说是不错的,但可能太低而无法利用 md5 系统的附加安全性。
请注意,Cracklib 本身有一对长度限制,一个“太短”的限制为 4,它被硬编码在和一个定义的限制 (6) 将在不参考 minlen 的情况下进行检查。如果您想允许短至 5 个字符的密码,则不应使用此模块。

1.3 引用pam_pwquality.so

添加配置

password requisite pam_pwquality.so try_first_pass retry=3 dcredit=-1 lcredit=-1 ucredit=-1 ocredit=-1 minlen=8

规则解释参考1.2

2、系统日志访问控制

ls -l查看下列日志文件权限/var/log/messages 、/var/log/secure 、 /var/log/maillog 、

/var/log/cron、 /var/log/spooler、/var/log/boot.log

如果发现上述文件权限不是小于等于600,参考配置操作如下

chmod 600 /var/log/messages
chmod 600 /var/log/secure
chmod 600 /var/log/maillog
chmod 600 /var/log/cron
chmod 600 /var/log/spooler
chmod 600 /var/log/boot.log

3、文件与目录缺省权限控制

该设置确定新创建的目录和文件的默认权限,vi /etc/profile 在末尾增加umask 027或者umask 022

umask值含义:当用户新创建文件或目录时,该文件或目录具有一个缺省权限。该缺省权限由umask值来指定。umask值代表的是权限的“补码”,即用缺省最大权限值减去umask值得到实际权限值。文件的缺省最大权限为可读可写,目录的缺省最大权限为可读可写可执行。即一个文件的实际缺省权限为666减去umask值。目录的实际缺省权限为777减去umask值

修改前

修改后

4、使用PAM 禁止任何人su 为root

默认情况下,任何用户都允许使用su命令,从而有机会反复尝试其他用户(如root)的登录密码,带来安全风险。为了增强sum命令的使用控制,可以借助PAM认证模块,只允许极个别用户使用su命令进行切换。

参考操作,把需要切换root用户添加到wheel组,以使它可以使用su命令成为root用户。添加方法为:

# usermod -a -G wheel username

编辑su文件(vi /etc/pam.d/su),在开头添加下面两行:

auth sufficient pam_rootok.so
auth required pam_wheel.so group=wheel

这表明只有wheel组的成员可以使用su命令成为root用户。

5、用户权限最小授权

Linux的用户在登录(login)之后,就带有一个用户身份(user ID, UID)和一个组身份(group ID, GID)。在Linux文件管理背景知识中,我们又看到,每个文件又有九位的权限说明,用来指明该文件允许哪些用户执行哪些操作(读、写或者执行)。

/etc/passwd 文件,是系统用户配置文件,存储了系统中所有用户的基本信息。必须所有用户都可读,root 用户可写 –rw-r--r--;

/etc/shadow 文件,用于存储 Linux 系统中用户的密码信息,又称为“影子文件”。只有root 可读 –r--------;

/ect/group 文件是用户组配置文件,即用户组的所有信息都存放在此文件中。须所有用户都可读,root 用户可写 –rw-r--r--;

操作命令如下:

chmod 644 /etc/passwd
chmod 600 /etc/shadow
chmod 644 /etc/group

如果是有写权限,就需移去组及其它用户对/etc 的写权限(特殊情况除外),执行命令

#chmod -R go-w /etc

6、限制root用户远程登录ssh

linux中root用户是超级管理员,可以针对root用户暴力破解密码,这样很不安全,工作中我们一般禁止root用户直接远程登陆,开设一个或多个普通用户,只允许登陆普通用户,如果有需要用root用户,可以用su命令来切换root或者sudo命令来拥有root权限执行命令。

修改ssh配置文件 vi /etc/ssh/sshd_config

将PermitRootLogin yes 改为PermitRootLogin no

重启sshd 服务

systemctl restart sshd

linux系统安全优化策略相关推荐

  1. 嵌入式Linux 系统的优化策略和方法

    嵌入式Linux 系统启动优化的那些事儿 嵌入式Linux 系统优化的那些儿事之系统启动时间的优化方法.. 嵌入式Linux 系统时间测量工具以及用法 Printk Times – 用于显示每个 pr ...

  2. linux系统安全优化

    linux系统安全优化 用户账号安全优化 1.禁用(锁定)zhangsan用户 用passwd –l [root@s2 ~]# passwd -l zhangsan Locking password ...

  3. 嵌入式linux+io+优化,嵌入式Linux系统内存优化使用方法研究

    [摘要] 嵌入式系统功能的提高,占用了较大内存空间,继而时常出现运行无响应.基于用户方面看,由于系统内存问题影响运行,针对系统内存与进程应用状态研究,可以调整系统数值与执行文件elf分析,进行系统优化 ...

  4. Linux实战教学笔记06:Linux系统基础优化

    第六节 Linux系统基础优化 标签(空格分隔):Linux实战教学笔记-陈思齐 第1章 基础环境 第2章 使用网易163镜像做yum源 默认国外的yum源速度很慢,所以换成国内的. 第一步:先备份 ...

  5. linux 系统优化基础,Linux系统基础优化总结

    请称呼我搬运工,哈哈 优化综合 https://www.cnblogs.com/yinshoucheng-golden/p/6149556.html (1)不用root管理,以普通用户的名义通过sud ...

  6. linux系统基础优化小结

    不用root, 添加普通用户,通过sudo授权管理 更改默认的远程ssh服务端口及禁止root用户远程登陆 定时自动更新服务器时间 ntpdate 配置yum更新源,从国内更新源下载安装软件,如啊里云 ...

  7. Linux系统初级优化

    系统参数优化和怎样增强系统安全性,系统默认的一些参数都是比较保守的,所以我们可以通过调整系统参数来提高系统内存.CPU.内核资源的占用,通过禁用不必要的服务.端口,来提高系统的安全性,更好的发挥系统的 ...

  8. linux系统反应优化,细说Linux系统优化-实践篇【转载】

    作为一名linux系统管理员,最主要的工作是优化系统配置,使应用在系统上以最优的状态运行,但是由于硬件问题.软件问题.网络环境等的复杂性 和多变性,导致对系统的优化变得异常复杂,如何定位性能问题出在哪 ...

  9. Linux系统如何优化

    01)不用root ,添加普通用户,通过sudo授权管理. 02)更改默认的远程连接SSH服务端口及禁止root用户远程连接. 03)定时自动更新服务器时间. 04) 配置yum更新源,从国内更新源下 ...

最新文章

  1. linux下卸载自带jdk,重新安装jre运行环境
  2. 读书笔记-恰到好处的幸福
  3. 第十五届智能车赛比赛 比赛组织参考文档
  4. Linux centos7 Linux网络相关、firewalld和netfilter、netfilter5表5链介绍、iptables语法
  5. 每日一皮:阅读软件许可协议让你想到了什么?
  6. org.apache.tomcat.util.scan.StandardJarScanner找不到serializer.jar的问题
  7. Java命令行界面(第24部分):MarkUtils-CLI
  8. alt复制选区就会卡 ps_PS入门视频教程笔记整理(二)工具栏介绍一
  9. python call agilent com_python 控制Asterisk AMI接口外呼电话的例子
  10. pytorch torch.nn.MSELoss
  11. Producer API
  12. cocos2d-基本概念(5)-Effects 效果
  13. 香蕉派安装64位linux,BANANA PI 入门:香蕉派如何安装系统
  14. 论剑江湖服务器维护,楚留香629维护内容介绍 名剑天下论剑洗心见武深夜酒馆_游侠手游...
  15. Excel合并单元格读取
  16. Es6类数组length属性和扩展方法,find(),findIndex(),fill(),copyWithin(),entries()...用法
  17. 回归测试概念和4种回归测试策略——你想知道的都在这里啦!
  18. wps字体颜色怎么改
  19. 推荐 :一文带你了解协同过滤的前世今生
  20. 【一篇文章搞懂】,字节跳动厂内部超高质量Flutter+Kotlin笔记

热门文章

  1. zigbee通讯技术复习笔记
  2. 我,心在痛。。。。。。
  3. Matlab 伪彩色处理方法总结(密度分割法、灰度级变换法、频域变换法)
  4. 06_Callable接口
  5. vw 前端_css3的vw单位,vh单位的讲解,以及vw vh的兼容性
  6. 【C语言|菜鸟教程】100道进阶经典例题详细解答(实例二)
  7. 从现在开始,请务必珍惜你手里的现金
  8. css 针对ie6 hank 兼容的终极解决办法
  9. dod刷服务器文件,编辑修改
  10. 小陈java学习笔记0805