Linux 服务器安全配置

2021-06-11 10:19:29 浏览数 (3)

按照下面的步骤修改服务器安全配置,腾讯云主机安全不会报任何主机配置的安全问题。

一、修改默认 root 密码

代码语言:javascript复制
passwd

二、新建用户并开启秘钥登录

1、新建用户

代码语言:javascript复制
useradd tencent
passwd tencent

2、把新用户添加到 sudoers 列表中

代码语言:javascript复制
echo "tencent ALL=(ALL) NOPASSWD: ALL" | tee /etc/sudoers.d/tencent

3、配置 SSH 密钥登录(新建用户操作)

代码语言:javascript复制
ssh-keygen -t ecdsa
​
# 如果没有 authorized_keys
mv ~/.ssh/id_ecdsa.pub ~/.ssh/authorized_keys
​
# 如果有 authorized_keys
cat >> ~/.ssh/authorized_keys < ~/.ssh/id_ecdsa.pub

4、下载私钥

代码语言:javascript复制
id_ecdsa

三、修改 SSH 配置文件

代码语言:javascript复制
vim /etc/ssh/sshd_config
​
# 修改默认端口
Port 16585
​
# 登录时,用户必须在1分钟内输入正确密码,否则断开连接
LoginGraceTime 60
​
# 禁止使用密码登录系统
PasswordAuthentication no
​
# 禁止 root 用户登录
PermitRootLogin no
​
# 允许新建用户登录
AllowUsers seatonjiang
​
# 禁止空密码用户登录
PermitEmptyPasswords no
​
# 允许密钥认证
PubkeyAuthentication yes
​
# 允许密码错误次数
MaxAuthTries 3
​
service sshd restart

四、添加口令策略

代码语言:javascript复制
vim /etc/login.defs
​
# 新建用户的密码最长使用天数
PASS_MAX_DAYS 90
​
# 新建用户的密码最短使用天数
PASS_MIN_DAYS 0
​
# 新建用户的密码到期提前提醒天数
PASS_WARN_AGE 7

五、口令过期后账号最长有效天数策略

代码语言:javascript复制
vim /etc/default/useradd
​
INACTIVE=365

六、超时自动登出配置

代码语言:javascript复制
vim /etc/profile
​
export TMOUT=1800

七、配置账户登录失败锁定策略

代码语言:javascript复制
vim /etc/pam.d/password-auth
​
auth required pam_tally2.so deny=5 unlock_time=300 even_deny_root root_unlock_time=300
​
account required pam_tally2.so

0 人点赞