root用户登录服务器
- 服务器密码配置
在/etc/login.defs文件中设置密码时效、长度等参数vim /etc/login.defs:
# 密码最大有效天数
PASS_MAX_DAYS 90
# 两次改变密码之间相距的最小天数,为零时代表任何时候都可以更改密码
PASS_MIN_DAYS 2
# 密码最小长度
PASS_MIN_LEN 12
# 警告的天数,可以让我们备份旧密码、准备新密码
PASS_WARN_AGE 7
注意:以上只对之后新增的用户有效,如果要修改已存在的用户密码规则,需要使用chage命令
在/etc/pam.d/system-auth文件中设置密码强度检查,进入文件后找到password requisite pam_pwquality.so 行增加try_first_pass local_users_only retry=3 authtok_type= minlen=12 difok=3 dcredit=-3 lcredit=-3 ucredit=-1 ocredit=-1对密码长度、复杂度构成进行限制,强制对root用户生效vim /etc/pam.d/system-auth。
# retry=3允许重试3次
# difok=-3允许的新、旧密码存在相同字符的个数3,默认为5。
# minlen=12表示密码长度至少为12个字符
# ucredit=-3表示密码中至少包含3个大写字母
# lcredit=-1表示密码中至少包含1个小写字母
# dcredit=-3表示密码中至少包含3个数字
# ocredit=-1表示密码中至少包含1个特殊字符
password requisite pam_pwquality.so try_first_pass local_users_only retry=3 authtok_type= minlen=12 difok=3 dcredit=-3 lcredit=-3 ucredit=-1 ocredit=-1
注意:以上只对之后新增的用户有效,如果要修改已存在的用户密码规则,需要使用chage命令
- 服务器账户和会话配置
修改/etc/pam.d/system-auth文件中配置服务账户锁定策略,在文件中首行添加:auth required pam_tally2.so行增加onerr=fail deny=3 unlock_time=300 even_deny_root root_unlock_time=100对登录失败情况进行账户锁定vim /etc/pam.d/system-auth。
# onerr=fail 表示定义了当出现错误时的缺省返回值
# deny=3 连续登录错误3次,锁定账户
# unlock_time=300 账户锁定300s后解锁
# even_deny_root 表示也限制root用户
# root_unlock_time=100 root账户锁定100后解锁
auth required pam_tally2.so onerr=fail deny=3 unlock_time=300 even_deny_root root_unlock_time=100
在/etc/profile文件中配置会话超时策略vim /etc/profile,生效配置source /etc/profile。
# 设置900秒内用户无操作就字段断开终端
export TMOUT=900
# 将值设置为readonly 防止用户更改
readonly TMOUT
- 服务器日志配置
在/etc/logrotate.conf文件中修改日志的保存天数和是否压缩vim /etc/logrotate.conf;
# 保存6个月以上
rotate 26
# 压缩
compress
根据日志量适当增加/etc/audit/auditd.conf文件中审计日志存储文件个数num_logs以及每个文件的存储max_log_file,确保可保存时间满足6个月vim /etc/audit/auditd.conf;
# 文件大小500M
max_log_file = 500
# 文件个数
num_logs = 5
配置后需重启日志进程:service rsyslog restart, service auditd restart。
