Linux SSH安全加固

Linux SSH 安全加固趴久,這里使用CentOS7.5 做演示

一融蹂、配置SSH雙因素登錄

? 1.確定系統(tǒng)時(shí)鐘是正確的

? 2.安裝相關(guān)依賴
? yum install -y git gcc automake autoconf libtool make pam-devel

? 3.安裝google 驗(yàn)證器

git clone https://github.com/google/google-authenticator-libpam
cd google-authenticator-libpam
./bootstrap.sh
./configure
make && make install
ln -fs /usr/local/lib/security/pam_google_authenticator.so /lib64/security/

? 4.配置驗(yàn)證器
? 修改SSH文件 將ChallengeResponseAuthentication 修改為yes
? 修改PAM文件 vim /etc/pam.d/sshd 在auth substack password-auth下面一行添加 auth required pam_google_authenticator.so
? 關(guān)閉selinux 修改/etc/sysconfig/selinux 文件 將 SELINUX=enforcing 修改為disabled
? google-authenticator
? 重啟SSH服務(wù)

二、設(shè)置密碼長度以及復(fù)雜度

? 1.設(shè)置密碼長度

修改 /etc/login.defs文件
將PASS_MIN_LEN 數(shù)值修改
修改 /etc/pam.d/system_auth配置文件
在password requisite 行后邊添加: minlen=數(shù)值

? 2.設(shè)置密碼復(fù)雜度

方法一:修改/etc/pam.d/system-auth
在password requisite 行后邊添加:
    ucredit=-1 #至少包含1位大寫字母
    lcredit=-1 #至少包含1位小寫字母
    ocredit=-1 #至少包含1位特殊字符
    dcredit=-1 #至少包含1位數(shù)字
方法二:使用如下命令:
    authconfig --enablereqlower --update
    authconfig --enablerequpper --update
    authconfig --enablereqdigit --update
    authconfig --enablereqother --update

三减响、設(shè)置密碼重試限制

1.限制tty登錄

修改login文件:
# vi /etc/pam.d/login
在#%PAM-1.0下面插入一行脚囊,也就是在第二行插入如下內(nèi)容:
auth required pam_tally2.so deny=5 unlock_time=1800 even_deny_root
root_unlock_time=3600
# 注意:上述配置必須在第二行,否則即使用戶被鎖定了芦拿,輸入正確的用戶名和密碼也可以登錄的挟鸠。
# 普通用戶和root用戶,密碼輸入錯(cuò)誤5次币喧,都會被鎖定淮逊,普通用戶被鎖定1800秒,root用戶被鎖定3600秒
# deny=5表示密碼輸入錯(cuò)誤5次
# unlock_time=1800表示普通用戶鎖定的時(shí)間蚁趁,單位為秒
# root_unlock_time=3600表示root用戶鎖定的時(shí)間裙盾,單位為秒
# even_deny_root表示root用戶也鎖定

2.限制ssh登錄

# vi /etc/pam.d/sshd
在#%PAM-1.0下面插入一行,也就是在第二行插入如下內(nèi)容:
auth required pam_tally2.so deny=5 unlock_time=1800 even_deny_root
root_unlock_time=1800
# 注意:上述配置必須在第二行他嫡,否則即使用戶被鎖定了番官,輸入正確的用戶名和密碼也可以登錄的。

要進(jìn)一步了解Linux系統(tǒng)安全加固請點(diǎn)這里钢属!

如有問題徘熔,歡迎指出,謝謝淆党!

最后編輯于
?著作權(quán)歸作者所有,轉(zhuǎn)載或內(nèi)容合作請聯(lián)系作者
  • 序言:七十年代末酷师,一起剝皮案震驚了整個(gè)濱河市,隨后出現(xiàn)的幾起案子染乌,更是在濱河造成了極大的恐慌山孔,老刑警劉巖,帶你破解...
    沈念sama閱讀 216,402評論 6 499
  • 序言:濱河連續(xù)發(fā)生了三起死亡事件荷憋,死亡現(xiàn)場離奇詭異台颠,居然都是意外死亡,警方通過查閱死者的電腦和手機(jī)勒庄,發(fā)現(xiàn)死者居然都...
    沈念sama閱讀 92,377評論 3 392
  • 文/潘曉璐 我一進(jìn)店門串前,熙熙樓的掌柜王于貴愁眉苦臉地迎上來,“玉大人实蔽,你說我怎么就攤上這事荡碾。” “怎么了局装?”我有些...
    開封第一講書人閱讀 162,483評論 0 353
  • 文/不壞的土叔 我叫張陵玩荠,是天一觀的道長漆腌。 經(jīng)常有香客問我,道長阶冈,這世上最難降的妖魔是什么闷尿? 我笑而不...
    開封第一講書人閱讀 58,165評論 1 292
  • 正文 為了忘掉前任,我火速辦了婚禮女坑,結(jié)果婚禮上填具,老公的妹妹穿的比我還像新娘。我一直安慰自己匆骗,他們只是感情好劳景,可當(dāng)我...
    茶點(diǎn)故事閱讀 67,176評論 6 388
  • 文/花漫 我一把揭開白布。 她就那樣靜靜地躺著碉就,像睡著了一般盟广。 火紅的嫁衣襯著肌膚如雪。 梳的紋絲不亂的頭發(fā)上瓮钥,一...
    開封第一講書人閱讀 51,146評論 1 297
  • 那天筋量,我揣著相機(jī)與錄音,去河邊找鬼碉熄。 笑死桨武,一個(gè)胖子當(dāng)著我的面吹牛,可吹牛的內(nèi)容都是我干的锈津。 我是一名探鬼主播呀酸,決...
    沈念sama閱讀 40,032評論 3 417
  • 文/蒼蘭香墨 我猛地睜開眼,長吁一口氣:“原來是場噩夢啊……” “哼琼梆!你這毒婦竟也來了性誉?” 一聲冷哼從身側(cè)響起,我...
    開封第一講書人閱讀 38,896評論 0 274
  • 序言:老撾萬榮一對情侶失蹤茎杂,失蹤者是張志新(化名)和其女友劉穎错览,沒想到半個(gè)月后,有當(dāng)?shù)厝嗽跇淞掷锇l(fā)現(xiàn)了一具尸體蛉顽,經(jīng)...
    沈念sama閱讀 45,311評論 1 310
  • 正文 獨(dú)居荒郊野嶺守林人離奇死亡蝗砾,尸身上長有42處帶血的膿包…… 初始之章·張勛 以下內(nèi)容為張勛視角 年9月15日...
    茶點(diǎn)故事閱讀 37,536評論 2 332
  • 正文 我和宋清朗相戀三年先较,在試婚紗的時(shí)候發(fā)現(xiàn)自己被綠了携冤。 大學(xué)時(shí)的朋友給我發(fā)了我未婚夫和他白月光在一起吃飯的照片。...
    茶點(diǎn)故事閱讀 39,696評論 1 348
  • 序言:一個(gè)原本活蹦亂跳的男人離奇死亡闲勺,死狀恐怖曾棕,靈堂內(nèi)的尸體忽然破棺而出,到底是詐尸還是另有隱情菜循,我是刑警寧澤翘地,帶...
    沈念sama閱讀 35,413評論 5 343
  • 正文 年R本政府宣布,位于F島的核電站,受9級特大地震影響衙耕,放射性物質(zhì)發(fā)生泄漏昧穿。R本人自食惡果不足惜,卻給世界環(huán)境...
    茶點(diǎn)故事閱讀 41,008評論 3 325
  • 文/蒙蒙 一橙喘、第九天 我趴在偏房一處隱蔽的房頂上張望时鸵。 院中可真熱鬧,春花似錦厅瞎、人聲如沸饰潜。這莊子的主人今日做“春日...
    開封第一講書人閱讀 31,659評論 0 22
  • 文/蒼蘭香墨 我抬頭看了看天上的太陽彭雾。三九已至,卻和暖如春锁保,著一層夾襖步出監(jiān)牢的瞬間薯酝,已是汗流浹背。 一陣腳步聲響...
    開封第一講書人閱讀 32,815評論 1 269
  • 我被黑心中介騙來泰國打工身诺, 沒想到剛下飛機(jī)就差點(diǎn)兒被人妖公主榨干…… 1. 我叫王不留蜜托,地道東北人。 一個(gè)月前我還...
    沈念sama閱讀 47,698評論 2 368
  • 正文 我出身青樓霉赡,卻偏偏與公主長得像橄务,于是被迫代替她去往敵國和親。 傳聞我的和親對象是個(gè)殘疾皇子穴亏,可洞房花燭夜當(dāng)晚...
    茶點(diǎn)故事閱讀 44,592評論 2 353

推薦閱讀更多精彩內(nèi)容