root用戶登錄服務器
- 服務器密碼配置
在/etc/login.defs文件中設置密碼時效、長度等參數vim /etc/login.defs:
# 密碼最大有效天數
PASS_MAX_DAYS 90
# 兩次改變密碼之間相距的最小天數,爲零時代表任何時候都可以更改密碼
PASS_MIN_DAYS 2
# 密碼最小長度
PASS_MIN_LEN 12
# 警告的天數,可以讓我們備份舊密碼、準備新密碼
PASS_WARN_AGE 7
注意:以上只對之後新增的用戶有效,如果要修改已存在的用戶密碼規則,需要使用chage命令
在/etc/pam.d/system-auth文件中設置密碼強度檢查,進入文件後找到password requisite pam_pwquality.so 行增加try_first_pass local_users_only retry=3 authtok_type= minlen=12 difok=3 dcredit=-3 lcredit=-3 ucredit=-1 ocredit=-1對密碼長度、複雜度構成進行限制,強制對root用戶生效vim /etc/pam.d/system-auth。
# retry=3允許重試3次
# difok=-3允許的新、舊密碼存在相同字符的個數3,默認爲5。
# minlen=12表示密碼長度至少爲12個字符
# ucredit=-3表示密碼中至少包含3個大寫字母
# lcredit=-1表示密碼中至少包含1個小寫字母
# dcredit=-3表示密碼中至少包含3個數字
# ocredit=-1表示密碼中至少包含1個特殊字符
password requisite pam_pwquality.so try_first_pass local_users_only retry=3 authtok_type= minlen=12 difok=3 dcredit=-3 lcredit=-3 ucredit=-1 ocredit=-1
注意:以上只對之後新增的用戶有效,如果要修改已存在的用戶密碼規則,需要使用chage命令
- 服務器賬戶和會話配置
修改/etc/pam.d/system-auth文件中配置服務賬戶鎖定策略,在文件中首行添加:auth required pam_tally2.so行增加onerr=fail deny=3 unlock_time=300 even_deny_root root_unlock_time=100對登錄失敗情況進行賬戶鎖定vim /etc/pam.d/system-auth。
# onerr=fail 表示定義了當出現錯誤時的缺省返回值
# deny=3 連續登錄錯誤3次,鎖定賬戶
# unlock_time=300 賬戶鎖定300s後解鎖
# even_deny_root 表示也限制root用戶
# root_unlock_time=100 root賬戶鎖定100後解鎖
auth required pam_tally2.so onerr=fail deny=3 unlock_time=300 even_deny_root root_unlock_time=100
在/etc/profile文件中配置會話超時策略vim /etc/profile,生效配置source /etc/profile。
# 設置900秒內用戶無操作就字段斷開終端
export TMOUT=900
# 將值設置爲readonly 防止用戶更改
readonly TMOUT
- 服務器日誌配置
在/etc/logrotate.conf文件中修改日誌的保存天數和是否壓縮vim /etc/logrotate.conf;
# 保存6個月以上
rotate 26
# 壓縮
compress
根據日誌量適當增加/etc/audit/auditd.conf文件中審計日誌存儲文件個數num_logs以及每個文件的存儲max_log_file,確保可保存時間滿足6個月vim /etc/audit/auditd.conf;
# 文件大小500M
max_log_file = 500
# 文件個數
num_logs = 5
配置後需重啓日誌進程:service rsyslog restart, service auditd restart。
