推荐设置:在/etc/login.defs文件下设置如下参数值: PASS_MAX_DAYS 90(服务器密码最大保存天数) PASS_MIN_DAYS 2 (服务器密码最小保存天数) PASS_MIN_LEN 8 (服务器密码最短长度) PASS_WARN_AGE 7 (服务器密码过期后提醒天数)
推荐设置: 1、在/etc/pam.d/system-auth文件中添加如下内容: auth required pam_tally2.so onerr=fail deny=5 unlock_time=180 even_deny_root root_unlock_time=180 说明:以上文件分别针对图形、本地字符、远程ssh登陆情形,密码出错机会小于等于5次,5次登陆失败后锁定3分钟。 <!-- more --> 2、在/etc/pam.d/system-auth文件中添加如下内容:password requisite pam_cracklib.so try_first_pass retry=3 type=minlen=8 ucredit=-1 lcredit=-1 dcredit=-1 ocredit=-1 说明:以上文件针对密码须包含大写字母个数ucredit、密码须包含小写字母个数lcredit、密码须包含的数字字符个数dcredit、密码须包含的特殊符号个数。
推荐设置:在 /etc/profile文件最后一行添加TMOUT=600(10分钟登录超时退出),时间可以设置为10~20分钟之间;
建议增加系统管理员、安全管理员、审计管理员账户,并为其分配不同的权限,权限划分如下:系统管理员负责用户管理、权限分配、菜单管理等大部分功能模块;安全管理员负责登录失败策略、超时锁定策略、密码复杂度策略等安全方面的策略管理;审计管理员负责登录日志、操作日志等审计日志的管理。三者权限相互独立、从而实现权限分离。
应有类似如下返回值:LIST_RULES: exit,always watch=/etc/hosts perm=rwa key=hosts-file
建议采取入侵检测和恶意代码防范的措施,并定期更新版本和病毒库,能够检测到对重要节点进行入侵的行为,并在发生严重入侵事件时提供告警,在发现入侵和病毒行为时,自动进行阻断;
建议设置:服务器配置/etc/hosts.deny、/etc/hosts.allow或/etc/ssh/sshd_config文件,限制能够访问服务器的IP地址。
本文作者:小白
本文链接:
版权声明:本博客所有文章除特别声明外,均采用 BY-NC-SA 许可协议。转载请注明出处!