服务器之家
您的位置: 首页 服务器系统 Linux

Linux系统几种安全加固策略参考

529人浏览   2024-04-14 20:34:06

Linux系统几种安全加固策略参考。

1.修改sshd服务的端口

这么做得目的是防止黑客端口嗅探,例如,将22端口修改为58463,即使黑客通过nmap,medusa,或者其它类嗅探工具检测到了58463,很大概率它也不会知道此端口开放的服务是什么,这么一个小改动会大大的提升sshd服务的安全。

修改方法非常简单,打开/etc/ssh/sshd_config文件。Port的值改为58463,修改完成systemctl restart sshd重启sshd服务。

2.sshd限制IP登陆策略

Linux 服务器通过设置/etc/hosts.allow和/etc/hosts.deny这个两个文件(hosts.allow许可大于hosts.deny),可以限制或者允许某个或者某段IP地址远程 SSH 登录服务器,方法比较简单,且设置后立即生效,不需要重启SSHD服务,具体如下:

首先配置/etc/hosts.deny拒绝全部IP。

测试无法进行远程ssh登录。

然后配置/etc/hosts.allow放行特定IP或网段即可。多个网段可以以逗号隔开,比如sshd:192.168.0.,192.168.1.:allow。

测试特定IP或网段可进行远程登录。

3.Linux用户登陆策略

可使用usermod命令锁定账号和解除锁定账号。

usermod -L root //锁定账号,这里是root,可以替换为其它任意普通账号

usermod -U root //解除锁定账号,这里是root,可以替换为其它任意普通账号

如果是这种锁定账号,那么ssh登陆的时候,即使密码正确也会拒绝。

4.Linux 用户密码策略

用户的密码策略具体包括:1.密码的强度 2.密码的时效 ,该策略的实施是借由Linux的内核模块PAM实现。PAM模块是Linux内核的安全认证模块,说它是一个函数库也没什么问题,主要就是负责安全认证工作,例如,检查账号的登陆合法性,密码的合理性等等工作都是由这个PAM模块负责。

Linux-PAM有四种模块类型,分别代表四种不同的任务,它们是:

  1. auth模块: 用来对用户的身份进行识别。如提示用户输入密码,或判断用户是否为root等,主要是认证管理。
  2. account模块: 对帐号的各项属性进行检查。如是否允许登录,是否达到最大用户数或是root用户是否允许在这个终端登录等,主要是账号管理。
  3. session模块: 这个模块用来定义用户登录前的及用户退出后所要进行的操作。如登录连接信息,用户数据的打开与关闭,挂载文件系统等,主要是会话管理。
  4. password模块: 使用用户信息来更新。如修改用户密码,设定密码复杂度等等,主要是密码管理。

设置密码复杂度策略

vi /etc/pam.d/system-auth

找到包含pam_pwquality.so模块的行,将原有行注释并修改为如下的新配置,密码长度最少12位,至少包含一个大写字母,一个小写字母,一个数字,一个特殊符号。

password requisite pam_pwquality.so try_first_pass local_users_only retry=3 authtok_type= minlen=12 lcredit=-1 ucredit=-1 dcredit=-1 ocredit=-1 enforce_for_root

  • minlen=12:密码最小长度为12个字符。
  • lcredit=-1:密码应包含的小写字母的至少一个。
  • ucredit=-1:密码应包含的大写字母至少一个。
  • dcredit=-1:将密码包含的数字至少为一个。
  • ocredit=-1:设置特殊字符的最小数量,例如@,#、! $%等,至少要有一个。
  • enforce_for_root: 确保即使是root用户设置密码,也应强制执行复杂性策略。

密码时效策略是保证按期及时的修改重要用户的密码,防止发生密码泄露,而登陆失败策略则是破坏暴力破解方式的无限登陆,比如,某个用户的密码错误,则一段时间内禁止再次登陆,如果配合密码策略,设置一个强密码,那么,暴力破解的情况是可以完全杜绝的。

1.密码时效策略

编辑 /etc/login.defs 文件,可以设置当前密码的有效期限,具体变量如下所示:

  • PASS_MAX_DAYS:密码最大有效期。
  • PASS_MIN_DAYS:两次修改密码的最小间隔时间。
  • PASS_MIN_LEN:密码最小长度,对于root无效。
  • PASS_WARN_AGE:密码过期前多少天开始提示。

2.用户登录失败策略

编辑系统/etc/pam.d/sshd文件,添加的内容,在 auth 字段所在的那一部分添加如下pam_tally2.so模块的策略参数:

auth required pam_tally2.so onerr=fail deny=5 unlock_time=300 even_deny_root root_unlock_time=300

  • onerr=fail:表示连续错误。
  • deny=n:表示连续登录失败次数超过n次后拒绝访问。
  • unlock_time=300:表示连续登录失败后锁定的时间(秒数)为300秒。
  • no_magic_root:表示连root用户也在限制范围内。
  • even_deny_root :root用户失败登录次数超过deny=n次后拒绝访问。
  • root_unlock_time=300:与even_deny_root相对应的选项,如果配置该选项,则root用户在登录失败次数超出限制后被锁定指定时间为300秒。

注:用户锁定期间,无论在输入正确还是错误的密码,都将视为错误密码,并以最后一次登录为锁定起始时间,如果用户解锁后输入密码的第一次依然为错误密码,则再次重新锁定。

相关推荐