1、设置用户权限配置文件的权限
执行以下5条命令:
chown root:root /etc/passwd /etc/shadow /etc/group /etc/gshadow
chmod 0644 /etc/group
chmod 0644 /etc/passwd
chmod 0400 /etc/shadow
chmod 0400 /etc/gshadow
注解:
/etc/group 用户群组信息文件
/etc/passwd 用户信息文件
/etc/shadow 用户密码文件
/etc/gshadow 群组密码文件
2、禁止SSH空密码用户登录
在/etc/ssh/sshd_config中取消PermitEmptyPasswords no注释符号#
注解:
/etc/ssh/sshd_config ssh远程登录配置文件
PermitEmptyPasswords no 参数含义:不允许空密码登录
3、设置密码失效时间
使用非密码登陆方式如密钥对,请忽略此项。在 /etc/login.defs 中将 PASS_MAX_DAYS 参数设置为 60-180之间,如 PASS_MAX_DAYS 90。需同时执行命令设置root密码失效时间: chage --maxdays 90 root
注解:
Linux下对于新添加的用户,用户密码过期时间是从 /etc/login.defs 中 PASS_MAX_DAYS 提取的,普通系统默认就是99999,
而有些安全操作系统是90。更改此处,只是让新建的用户默认密码过期时间变化,已有用户密码过期时间仍然不变。
chage --maxdays 90 root 设置root账号的密码有效期限为90天
或:chage -M 90 root
-M:密码保持有效的最大天数
-m:密码可更改的最小天数。为零时代表任何时候都可以更改密码。
4、设置密码修改最小间隔时间
在 /etc/login.defs 中将 PASS_MIN_DAYS 参数设置为5-14之间,建议为7:
PASS_MIN_DAYS 7 需同时执行命令为root用户设置:
chage --mindays 7 root
注解:
PASS_MAX_DAYS 90 #密码最长过期天数
PASS_MIN_DAYS 80 #密码最小过期天数
chage --mindays 7 root 设置root密码最少七天才可更改
或 chage -m 7 root
5、确保SSH LogLevel设置为INFO
编辑 /etc/ssh/sshd_config 文件以按如下方式设置参数(取消注释):
LogLevel INFO
注解:
LogLevel INFO:设置记录sshd日志消息的级别为INFO
6、SSHD强制使用V2安全协议
编辑 /etc/ssh/sshd_config 文件以按如下方式设置参数: Protocol 2
注解:
Protocol 2:设置协议版本为SSH2,centos7默认第一版本已拒绝,因SSH1存在漏洞与缺陷
7、设置SSH空闲超时退出时间
编辑/etc/ssh/sshd_config,将ClientAliveInterval 设置为300到900,即5-15分钟,将ClientAliveCountMax设置为0。
ClientAliveInterval 900
ClientAliveCountMax 0
注解:
ClientAliveInterval 900 表示每隔300秒向客户端发送一个“空包”,以保持于客户端的连接。 此选项仅适用于协议版本2。
ClientAliveCountMax 0 表示总共发送多少次“空包”,之后断开它们之间的连接
上面两行配置的意思为:设置的空闲超时时间间隔是900秒,ssh会话将被终止,甚至发送都不会保持活动包