linux安全配置项
1.删除不需要的帐号:
cp /etc/passwd /etc/passwd.bak
删除用户:
userdel
groupdel 删除用户组,需要确认该组是否还有其余用户,有则谨慎删除
更改用户的shell
vi /etc/passwd
2.设置密码过期策略:
查看密码有效期,默认为99999
cat /etc/login.defs | grep -i PASS_MAX_DAYS
# PASS_MAX_DAYS Maximum number of days a password may be used.
PASS_MAX_DAYS 99999备份
cp /etc/login.defs /etc/login.defs.bak
vi /etc/login.defs将PASS_MAX_DAYS修改为有效期天数
例如:
PASS_MAX_DAYS 90
3.设置登录超时
查看目前设置的登录超时,默认不超时
cat /etc/profile | grep -i tmout
cp /etc/profile /etc/profile.bak
添加登录超时配置:
10分钟超时
TMOUT=600
readonly TMOUT
export TMOUT
4.设置历史命令的显示运行时间以及记录的行数:
cp /etc/profile /etc/profile.bak
添加如下:
显示时间的格式
export HISTTIMEFORMAT=’%F %T ’
显示记录行数:
HISTFILESIZE=100
5.设置禁止空口令及口令历史
默认已禁止空口令
修改如下项:
auth sufficient pam_unix.so nullok try_first_pass
password sufficient pam_unix.so sha512 shadow nullok try_first_pass use_authtok remember=4
6.设置ssh配置:
vi /etc/ssh/ssh_config
找到如下的行,修改为no:
不允许root通过ssh直接登录
PermitRootLogin no
UseDNS去掉行首的#号,并修改为no:(加快SSH登陆)
UseDNS no
不允许使用其他验证方式:
GSSAPIAuthentication no
7.配置安全日志:
cp /etc/rsyslog.conf /etc/rsyslog.conf.bak
配置ssh,su登录日志记录:
vi /etc/rsyslog.conf
authpriv.* /var/log/secure
重启syslogd
/etc/rc.d/init.d/syslog restart
8.设置密码长度:
vi /etc/login.defs
PASS_MIN_LEN 8
PASS_WARN_AGE 7
9.设置口令复杂度
vi /etc/pam.d/system-auth
password requisite pam_pwquality.so try_first_pass local_users_only retry=3 authtok_type= minclass=3
10.禁用selinux
vi /etc/selinux/config
SELINUX=disabled
11.敏感文件权限修改:
/etc/passwd和/etc/group权限修改为644,/etc/shadow修改应该为400或000: