2013-4-16-Linux安全加固配置文档.docVIP

限制能够su为root的用户 #vi /etc/pam.d/su 回车 在里面添加黄色部分，保存退出。 开启口令复杂性要求 # vi /etc/login.defs 回车 出现如下图所示： 上图说明： PASS_MAX_DAYS 99999 //新建用户的密码最长使用天数 　　PASS_MIN_DAYS 0 //新建用户的密码最短使用天数 　　PASS_WARN_AGE 7 //新建用户的密码到期提前提醒天数 　　PASS_MIN_LEN 5 //最小密码长度9 按要求配置，配置完成保存退出。 配置策略增加设置密码强度 # vi /etc/pam.d/system-auth 修改内容如下，在password部分找到如下一行： Password required /lib/security/$ISA/pam_cracklib.so retry=3将该行内容修改成： Password required /lib/security/$ISA/pam_cracklib.so retry=3 dcredit=-1 ucredit=-1 lcredit=-1 minlen=8 说明：retry=3 //用户有几次出错机会 Dcredit=-1 //密码中最多几个数字 Ucredit=-1 //密码中最多几个大写字母 Lcredit=-1 //新密码中最多几个小写字母 Minlen=8 //最小密码长度 补充：difok=5 //新密码中至少有几个字符是和以前的密码不同的 Difignore=3 //忽略新密码中不同字符之前的几个字母 Ocredit=5 //新密码中最多几个特殊字符 Use_authtok //使用密码字典中的密码 如图黄色部分 账号锁定和解锁 命令passwd -l 用户名锁定不必要的账号。 命令passwd -u 用户名解锁需要恢复的账号。 命令 userdel 用户名 删除用户 设置访问控制策略限制能够管理本机的IP地址 # vi /etc/ssh/sshd_config，添加以下语句 AllowUsers *@10.138.*.* 此句意为：仅允许10.138.0.0/16网段所有用户通过ssh访问 保存后重启ssh服务。 # service sshd restart 禁止root用户远程登录 # vi /etc/ssh/sshd_config 把红色框里的内容改成 RermitRootLogin no 保存后重启ssh服务 # service sshd restart 防止误使用Ctrl+Alt+Del重启系统 检查方法： 　　#cat /etc/inittab|grep ctrlaltdel 查看输入行是否被注释 加固： #vi /etc/inittab 在行开头添加注释符号“#”