描述

设置SSH空闲超时退出时间,可降低未授权用户访问其他用户ssh会话的风险

检查提示

--

加固建议

编辑/etc/ssh/sshd_config,将ClientAliveInterval 设置为300到900,即5-15分钟,将ClientAliveCountMax设置为0-3之间。

ClientAliveInterval 600

ClientAliveCountMax 2

描述

SSHD强制使用V2安全协议

检查提示

--

加固建议

编辑 /etc/ssh/sshd_config 文件以按如下方式设置参数:

Protocol 2

描述

强制用户不重用最近使用的密码,降低密码猜测攻击风险

检查提示

--

加固建议

在/etc/pam.d/password-auth和/etc/pam.d/system-auth中password sufficient pam_unix.so 这行的末尾配置remember参数为5-24之间,原来的内容不用更改,只在末尾加了remember=5。

描述

检查密码长度和密码是否使用多种字符类型

检查提示

--

加固建议

编辑/etc/security/pwquality.conf,把minlen(密码最小长度)设置为9-32位,把minclass(至少包含小写字母、大写字母、数字、特殊字符等4类字符中等3类或4类)设置为3或4。如:

minlen=10

minclass=3

描述

设置密码修改最小间隔时间,限制密码更改过于频繁

检查提示

--

加固建议

在 /etc/login.defs 中将 PASS_MIN_DAYS 参数设置为7-14之间,建议为7:

PASS_MIN_DAYS 7

需同时执行命令为root用户设置:

chage --mindays 7 root




















描述


设置密码失效时间,强制定期修改密码,减少密码被泄漏和猜测风险,使用非密码登陆方式(如密钥对)请忽略此项。






检查提示


--






加固建议




使用非密码登陆方式如密钥对,请忽略此项。在 /etc/login.defs 中将 PASS_MAX_DAYS 参数设置为 60-180之间,如:


PASS_MAX_DAYS 90


需同时执行命令设置root密码失效时间:


chage --maxdays 90 root








描述


检查系统空密码账户






检查提示


--






加固建议




为用户设置一个非空密码,或者执行passwd -l <username>锁定用户






描述


禁止SSH空密码用户登录






检查提示


--






加固建议




编辑文件/etc/ssh/sshd_config,将PermitEmptyPasswords配置为no:


PermitEmptyPasswords no








描述


确保密码到期警告天数为7或更多






检查提示


--






加固建议




在 /etc/login.defs 中将 PASS_WARN_AGE 参数设置为7-14之间,建议为7:


PASS_WARN_AGE 7


同时执行命令使root用户设置生效:


chage --warndays 7 root








描述


设置较低的Max AuthTrimes参数将降低SSH服务器被暴力攻击成功的风险。






检查提示


--






加固建议




在/etc/ssh/sshd_config中取消MaxAuthTries注释符号#,设置最大密码尝试失败次数3-6,建议为4:


MaxAuthTries 4




























 




												


											
linux系统安全设置加固的更多相关文章
	

    
								
  1. linux  linux系统常用设置
		
    linux  linux系统常用设置 一.设置开机时开启数字键 修改rc.local文件 命令:vi  /etc/rc.local rc.local文件中增加如下代码: INITTY=/dev/tty ...
    
		
    2. 
						
  2. Linux 系统的安全加固
		
    Linux是一套免费使用和自由传播的类Unix操作系统,作为一个开放源代码的操作系统,Linux服务器以其安全.高效和稳定的显著优势而得以广泛应用,但如果不做好权限的合理分配,Linux系统的安全性还 ...
    
		
    3. 
						
  3. linux系统下设置oracle开机自动启动
		
    在Linux系统中,安装好oracle数据库服务后,并不像在Windows系统下一样,oracle服务在默认情况下会随时系统的启动自动启动.Linux系统中,是需要用户去手动进行设置,才能实现orac ...
    
		
    4. 
						
  4. Linux系统时间设置(转载)
		
    Linux时钟分为系统时钟(System Clock)和硬件(Real Time Clock,简称RTC)时钟.系统时钟是指当前Linux Kernel中的时钟,而硬件时钟则是主板上由电池供电的时钟, ...
    
		
    5. 
						
  5. Linux系统如何设置开机程序自启动
		
    在Linux系统如何让程序开机时自动启动      核心提示:系统的服务在开机时一般都可以自动启动,那在linux系统下如果想要程序在开机时自动启动怎么办?我们知道在 windows系统“开始”--& ...
    
		
    6. 
						
  6. Linux系统权限设置 - 运用指南
		
    下面对linux系统下的有关权限操作命令进行了梳理总结,并配合简单实例进行说明.linux中除了常见的读(r).写(w).执行(x)权限以外,还有其他的一些特殊或隐藏权限,熟练掌握这些权限知识的使用, ...
    
		
    7. 
						
  7. Linux系统如何设置开机自动运行脚本?
		
    大家好,我是良许. 在工作中,我们经常有个需求,那就是在系统启动之后,自动启动某个脚本或服务.在 Windows 下,我们有很多方法可以设置开机启动,但在 Linux 系统下我们需要如何操作呢? Li ...
    
		
    8. 
						
  8. 解决Linux系统在设置alias命令重启后失效的问题
		
    在使用linux系统的过程中,大多数情况下都是在字符界面下进行的.有些比较长的命令我们不希望每次都重复输入,这样不仅浪费时间而且还容易出错:我们会使用alias命令来解决 比如: alias ll=' ...
    
		
    9. 
						
  9. 【linux】linux系统安全设置
		
    1.下载安装安全软件 2.取消Telnet登录采用SSH方式并更改ssh服务端远程登录的配置 1)Telnet登录协议是明文不加密不安全,所以采用更安全的SSH协议. 2)更改ssh服务端远程登录相关 ...
    
		
    10. 
		

	


随机推荐
	

    
									
  1. javascript--特权方法
			
    在Javascript--闭包一节中我们讲解了闭包的作用域和作用域链的特性.了解到在外部一般是不可能访问到内部作用域中的变量的,然而通过闭包我们可以定义特权方法访问私有变量.下面先介绍块级作用域再介绍 ...
    
			
    2. 
						
  2. redis几种模式的部署(Windows下实现)
			
    <参考>http://www.cnblogs.com/ruiati/p/6374152.html 1.   自行下载redis客户端.redis官方不支持Windows系统,所以官网上是下 ...
    
			
    3. 
						
  3. 深入分析JAVA IO(BIO、NIO、AIO)
			
    IO的基本常识 1.同步 用户进程触发IO操作并等待或者轮询的去查看IO操作是否完成 2.异步 用户触发IO操作以后,可以干别的事,IO操作完成以后再通知当前线程继续处理 3.阻塞 当一个线程调用 r ...
    
			
    4. 
						
  4. Java中的集合Collection
			
    集合是什么? Java集合类存放于 java.util 包中,是一个用来存放对象的容器. 注意:①.集合只能存放对象.比如你存一个 int 型数据 1放入集合中,其实它是自动转换成 Integer 类 ...
    
			
    5. 
						
  5. Pwnhub Fantastic Key-一点总结
			
    index.php <? php error_reporting(0); include 'config.php'; $id = $_POST['i'] ? waf($_POST['i']) : ...
    
			
    6. 
						
  6. jeecg中获取用户拥有的角色的数据权限
			
    String roles1=""; String sql=""; //1.获取用户 TSUser user = ResourceUtil.getSessionU ...
    
			
    7. 
						
  7. Qt编写数据可视化大屏界面电子看板9-曲线效果
			
    一.前言 为了编写数据可视化大屏界面电子看板系统,为了能够兼容Qt4和嵌入式linux系统,尤其是那种主频很低的,但是老板又需要在这种硬件上(比如树莓派.香橙派.全志H3.imx6)展示这么华丽的界面 ...
    
			
    8. 
						
  8. java引用如果是成员变量则引用本身不保存在栈上的汇编级调试证明
			
    很久很久没有更新博客了,因为发生太多太多猝不及防的事情,再加上自己本身也特别忙,这里补上一直想发的自己觉得很有意义的一次探索过程. 就是很多java开发人员都曾被误导的一个点——“如果一个变量是引用, ...
    
			
    9. 
						
  9. windows是下安装nvmw
			
    nvmw:Windows环境下的node多版本管理工具. 安装: 1.  git clone https://github.com/hakobera/nvmw.git 2.修改环境变量 计算机 -&g ...
    
			
    10. 
						
  10. 攻防世界CRYPTO新手练习
			
    0x01 base64 直接base64 Decode 得到flag cyberpeace{Welcome_to_new_World!} 0x02 Caesar key为12 的恺撒密码,解密德fla ...
    
			
    11.