按照下面的步骤修改服务器安全配置,腾讯云主机安全不会报任何主机配置的安全问题。
一、修改默认 root 密码
代码语言:javascript复制passwd二、新建用户并开启秘钥登录
1、新建用户
代码语言:javascript复制useradd tencent
passwd tencent2、把新用户添加到 sudoers 列表中
代码语言:javascript复制echo "tencent ALL=(ALL) NOPASSWD: ALL" | tee /etc/sudoers.d/tencent3、配置 SSH 密钥登录(新建用户操作)
代码语言:javascript复制ssh-keygen -t ecdsa
# 如果没有 authorized_keys
mv ~/.ssh/id_ecdsa.pub ~/.ssh/authorized_keys
# 如果有 authorized_keys
cat >> ~/.ssh/authorized_keys < ~/.ssh/id_ecdsa.pub4、下载私钥
代码语言:javascript复制id_ecdsa三、修改 SSH 配置文件
代码语言:javascript复制vim /etc/ssh/sshd_config
# 修改默认端口
Port 16585
# 登录时,用户必须在1分钟内输入正确密码,否则断开连接
LoginGraceTime 60
# 禁止使用密码登录系统
PasswordAuthentication no
# 禁止 root 用户登录
PermitRootLogin no
# 允许新建用户登录
AllowUsers seatonjiang
# 禁止空密码用户登录
PermitEmptyPasswords no
# 允许密钥认证
PubkeyAuthentication yes
# 允许密码错误次数
MaxAuthTries 3
service sshd restart四、添加口令策略
代码语言:javascript复制vim /etc/login.defs
# 新建用户的密码最长使用天数
PASS_MAX_DAYS 90
# 新建用户的密码最短使用天数
PASS_MIN_DAYS 0
# 新建用户的密码到期提前提醒天数
PASS_WARN_AGE 7五、口令过期后账号最长有效天数策略
代码语言:javascript复制vim /etc/default/useradd
INACTIVE=365六、超时自动登出配置
代码语言:javascript复制vim /etc/profile
export TMOUT=1800七、配置账户登录失败锁定策略
代码语言:javascript复制vim /etc/pam.d/password-auth
auth required pam_tally2.so deny=5 unlock_time=300 even_deny_root root_unlock_time=300
account required pam_tally2.so
