linux系統(tǒng)在安裝完畢我們需要進行簡單安全加固具體涉及到以下方面：

1. 密碼長度修改：

[root@localhost ~]# vi  /etc/login.defs 
PASS_MIN_LEN    5                  #這是系統(tǒng)默認密碼最短為5位，需要設置最短密碼長度為12，把5改為12即可塔拳。

2. 密碼復雜度修改：

[root@localhost ~]# cp /etc/pam.d/system-auth /etc/pam.d/system-auth.bak       #修改配置文件先備份舊配置文件
[root@localhost ~]# vi /etc/pam.d/system-auth
password    requisite     pam_pwquality.so try_first_pass local_users_only retry=3 authtok_type= minlen=10 lcredit=-1 
ucredit=-1 dcredit=-1 ocredit=-1 enforce_for_root

image.png

參數解釋：
minlen=10 密碼最小長度為10個字符尤仍。
lcedit=-1 密碼應包含的小寫字母的至少一個
ucredit=-1 密碼應包含的大寫字母至少一個
dcredit=-1 將密碼包含的數字至少為一個
ocredit=-1 設置其他符號的最小數量，例如@，＃逗宜、! $％等庆尘，至少要有一個
enforce_for_root 確保即使是root用戶設置密碼剃诅，也應強制執(zhí)行復雜性策略。

3. SSH服務默認端口修改：

[root@localhost ~]# vi /etc/ssh/sshd_config
Port 2200             #ssh服務端口修改為2200
[root@localhost ~]# systemctl  restart  sshd       #重啟ssh服務使其修改配置生效

image.png

4. 禁止root用戶遠程ssh登入：

修改完成以后如果想要使用root賬戶驶忌，用普通賬戶遠程登入再用su - 命令切換到root賬戶

[root@localhost ~]# vi /etc/ssh/sshd_config
PermitRootLogin no                    #去掉原先注釋矛辕，yes修改為no
[root@localhost ~]# systemctl  restart sshd

image.png

5. SSH限制特定的IP遠程登入：

方法一：

linux 服務器通過設置/etc/hosts.allow和/etc/hosts.deny這個兩個文件笑跛，hosts.allow許可大于hosts.deny可以限制或者允許某個或者某段IP地址遠程 SSH 登錄服務器，方法比較簡單聊品，且設置后立即生效飞蹂，不需要重啟SSHD服務，具體如下：

[root@localhost ~]# vi /etc/hosts.allow  
 sshd:192.168.2.20:allow         #允許192.168.2.20這個主機IP訪問,其他ip訪問都拒絕
 sshd:192.168.2.*:allow        #允許192.168.2.這個網段主機訪問其他網段都拒絕

hosts.allow和hosts.deny兩個文件同時設置規(guī)則的時候翻屈，hosts.allow文件中的規(guī)則優(yōu)先級高陈哑，按照此方法設置后服務器只允許/etc/host
s.allow 這個配置文件IP地址的SSH登錄，其它的IP都會拒絕伸眶。

[root@localhost ~]# vim /etc/hosts.deny
sshd:192.168.2.20:deny       #拒絕192.168.2.20這個ip登入其他ip都允許       
sshd:192.168.2.*:deny         #拒絕192.168.2.這個網段ip訪問其他網段都允許

方法二：

我們可以編輯/etc/ssh/sshd_config配置文件進行限時某個IP和組遠程通過ssh服務連接主機惊窖，具體配置如下
AllowUsers：允許某個用戶登入，其它都不能登錄
AllowGroups：允許某個用戶組登入厘贼，其它都不能登錄
DenyUsers：拒絕某個用戶登入界酒，其它用戶都能登錄
DenyGroups：拒絕某個組登入，其它都能登錄

[root@localhost ~]# vi /etc/ssh/sshd_config   #打開配置文件添加以下配置
AllowUsers root@192.168.2.20                     #允許192.168.2.20這臺機器已root用戶登入其他IP都不允許登入

[root@localhost ~]# vi /etc/ssh/sshd_config
DenyUsers root@192.168.2.20                #拒絕192.168.2.20 這個IP允許其他IP訪問

[root@localhost ~]# vi /etc/ssh/sshd_config
 AllowGroups  root                    #允許root用戶組訪問嘴秸，其他用戶組拒絕

[root@localhost ~]# vi /etc/ssh/sshd_config
DenyGroups    root                 #禁止root用戶組訪問毁欣，其他用戶組允許