1、用户权限配置文件的权限优化
描述:设置用户权限配置文件的权限
操作时建议做好记录或备份
chown root:root /etc/passwd /etc/shadow /etc/group /etc/gshadow
chmod 0644 /etc/group
chmod 0644 /etc/passwd
chmod 0400 /etc/shadow
chmod 0400 /etc/gshadow
cat /etc/passwd | awk -F: '($3 == 0) { print $1 }'|grep -v '^root$' #查看root的id=0的唯一性
2、ssh服务优化
编辑/etc/ssh/sshd_config文件,修改以下参数:
LogLevel INFO #确保SSH LogLevel设置为INFO,记录登录和注销活动
#将ClientAliveInterval 设置为300到900,即5-15分钟,将ClientAliveCountMax设置为0。
ClientAliveInterval 900 #设置SSH空闲超时退出时间,可降低未授权用户访问其他用户ssh会话的风险
ClientAliveCountMax 0
Protocol 2 #SSHD强制使用V2安全协议
MaxAuthTries 4 #设置较低的Max AuthTrimes参数将降低SSH服务器被暴力攻击成功的风险。设置最大密码 尝试失败次数3-6,建议为4
PermitEmptyPasswords no #禁止SSH空密码用户登录
3、身份鉴别优化
编辑/etc/login.defs文件,修改以下参数:
PASS_MIN_DAYS 7 #设置密码修改最小间隔时间,限制密码更改过于频繁
PASS_MAX_DAYS 90 #设置密码失效时间
#参数1注解:在 /etc/login.defs 中将 PASS_MIN_DAYS 参数设置为7-14之间,建议为7: PASS_MIN_DAYS 7 需同时执行命令为root用户设置: chage --mindays 7 root
#参数2注解:设置密码失效时间,强制定期修改密码,减少密码被泄漏和猜测风险,使用非密码登陆方式(如密钥对)请忽略此项。
#使用非密码登陆方式如密钥对,请忽略此项。在 /etc/login.defs 中将 PASS_MAX_DAYS 参数设置为 60-180之间,如 PASS_MAX_DAYS 90。需同时执行命令设置root密码失效时间: chage --maxdays 90 root。