由于Linux操作系统是一个开源的免费操作系统，因此受到越来越多用户的欢迎。对于在线运行的服务，用户最关心的是系统的安全性。系统的安全性直接影响服务的安全性。系统安全设置是一个多维问题。以下小编将从Linux的帐户安全维度分享一些常见的Linux安全强化技巧。
Linux系统安全
1.设置密码策略
[root @ lkjtest~] #cat /etc/login.defs | grep -v'＃'| grep PASS
PASS_MAX_DAYS 180
PASS_MIN_DAYS 0
PASS_MIN_LEN 5
PASS_WARN_AGE 7
如何做到Linux系统安全加固帐户的安全性？分享11个安全提示
参数说明：
PASSMAXDAYS：设置密码的到期日期
PASSMINDAYS：密码最小更改日期
PASSMINLEN：密码的最小长度
PASSWARNAGE：密码提前到期的天数。
2.限制用户远程登录
Vim /etc/pam.d/sshd
＃％PAM-1.0
验证需要pam_tally2.so deny=3 unlock_time=300 even_deny_root root_unlock_time=10
如何做到Linux系统安全加固帐户的安全性？分享11个安全提示
注意：添加的内容必须在前面添加，即在“＃％PAM-1.0”之后，如果稍后写，虽然用户被锁定，只要用户名和密码正确，它仍然可以成功登录。
参数说明：
Evendenyroot: root用户也是有限的。
拒绝：设置普通用户和root用户的最大连续登录次数。如果超过最大次数，则用户被锁定。
Unlock_time：普通用户锁定多久后，该单位为秒。
Rootunlocktime：root用户锁定后，解锁多长时间，单位为秒。3.限制用户登录tty
Vim /etc/pam.d/login
＃％PAM-1.0
验证需要pam_tally2.so deny=3 lock_time=300 even_deny_root root_unlock_time=10
如何做到Linux系统安全加固帐户的安全性？分享11个安全提示
注意：添加的内容必须在前面添加，即在“＃％PAM-1.0”之后，如果稍后写，虽然用户被锁定，只要用户名和密码正确，它仍然可以成功登录。
参数说明：
Evendenyroot: root用户也是有限的。
拒绝：设置普通用户和root用户的最大连续登录次数。如果超过最大次数，则用户被锁定。
Unlock_time：普通用户锁定多久后，该单位为秒。
Rootunlocktime：root用户锁定后，解锁多长时间，单位为秒。
4.查看用户登录失败的次数
[root @ localhost] #pam_tally2 --user root
登录失败最新失败来自
根0
如何做到Linux系统安全加固帐户的安全性？分享11个安全提示
5.解锁指定的用户
[root @ localhost~] #pam_tally2 -r -u root
登录失败最新失败来自
根0
6.设置密码复杂性
编辑/etc/pam.d/system-auth
找到pam_cracklib并添加一些参数，如下所示：
[root @ lkjtest~] #cat /etc/pam.d/system-auth | grep cracklib
密码必备pam_cracklib.so retry=5 difok=3 minlen=10 ucredit=-1 lcredit=-1 dcredit=-1 ocredit=-1
如何做到Linux系统安全加固帐户的安全性？分享11个安全提示
参数说明：
重试=5：表示允许输入5次
Difok=3：新密码的数量与旧密码不同。Minlen=10：密码长度至少为10位
Ucredit=-1：至少一个大写字母
Lcredit=-1：至少一个小写字母
Dcredit=-1：至少一位数
Ocredit=-1：至少一个其他角色
7.限制su权限
如果您不希望任何人以root身份使用su，则可以传递以下限制：
编辑/etc/pam.d/su文件并添加以下两行：
验证足够的pam_rootok.so调试
验证需要pam_wheel.so group=admin
只有admin组的用户才能su
如何做到Linux系统安全加固帐户的安全性？分享11个安全提示
8.设置用户登录的时间段
有时为了系统登录的安全性，我们需要限制用户只允许登录主机一段时间，可以通过以下设置。
#vi /etc/pam.d/sshd
添加以下内容：
需要帐户pam_time.so
#vi /etc/security/time.conf
添加以下内容：
SSHD； *；管理；！Th2100-2300
如何做到Linux系统安全加固帐户的安全性？分享11个安全提示
如何做到Linux系统安全加固帐户的安全性？分享11个安全提示
Time.conf参数说明：
Sshd：表示只有ssh程序限制
*：表示任何终端，也可以指定终端，如tty1，tty2等。
Admin：表示只限制admin用户。
！Tu2200-2230：周四允许登录时间在2100-2300之外
9.特殊账户处理
如果您不开始使用sendmail，请删除以下用户
[root @ localhost] #userdel adm
[root @ localhost] #userdel lp
[root @ localhost] #userdel sync
[root @ localhost] #userdel shutdown
[root @ localhost] #userdel halt
[root @ localhost] #userdel mail
如果您不使用X Windows服务器。可以删除
[root @ localhost] #userdel news[root @ localhost]＃userdel uucp
[root @ localhost] #userdel运算符
[root @ localhost] #userdel games
如果不允许匿名FTP帐户登录，则可以将其删除。
[root @ localhost] #userdel gopher
[root @ localhost] #userdel ftp
10.设置注销用户的时间和历史记录
[root @ tp~] #vi/etc/profile
...
HOSTNAME=`/bin中/hostname`
HISTSIZE=1000 //这里1000表示用户操作命令的历史记录，应尽可能小，设置为0。
Tmout=600 //表示如果系统用户在600秒（10分钟）内没有执行任何操作，则用户将自动注销。
如何做到Linux系统安全加固帐户的安全性？分享11个安全提示
11.抗暴力破解
对于用户的抗暴力破解，通常采用以下方法。
hostDenyHosts：有关此软件的具体用法，请参阅官方文档。
编写脚本以检查/var/log/secure访问日志文件：通过在日志文件中记录失败的ip并将阈值ip添加到/etc/hosts.deny以拒绝访问ip。

• 上一篇: 蓝盟IT外包，元宇宙：四梁八柱是什么
  下一篇: 5G时代的模块化是否会成为边缘数据中心的主流？

• 分享到：