首页
最新活动
服务器租用
香港服务器租用
台湾服务器租用
美国服务器租用
日本服务器租用
新加坡服务器租用
高防服务器
香港高防服务器
台湾高防服务器
美国高防服务器
裸金属
香港裸金属服务器
台湾裸金属服务器
美国裸金属服务器
日本裸金属服务器
新加坡裸金属服务器
云服务器
香港云服务器
台湾云服务器
美国云服务器
日本云服务器
CDN
CDN节点
CDN带宽
CDN防御
CDN定制
行业新闻
官方公告
香港服务器资讯
帮助文档
wp博客
zb博客
服务器资讯
联系我们
关于我们
机房介绍
机房托管
登入
注册
帮助文档
专业提供香港服务器、香港云服务器、香港高防服务器租用、香港云主机、台湾服务器、美国服务器、美国云服务器vps租用、韩国高防服务器租用、新加坡服务器、日本服务器租用 一站式全球网络解决方案提供商!专业运营维护IDC数据中心,提供高质量的服务器托管,服务器机房租用,服务器机柜租用,IDC机房机柜租用等服务,稳定、安全、高性能的云端计算服务,实时满足您的多样性业务需求。 香港大带宽稳定可靠,高级工程师提供基于服务器硬件、操作系统、网络、应用环境、安全的免费技术支持。
联系客服
服务器资讯
/
香港服务器租用
/
香港VPS租用
/
香港云服务器
/
美国服务器租用
/
台湾服务器租用
/
日本服务器租用
/
官方公告
/
帮助文档
Linux账号密码安全策略设置
发布时间:2024-03-06 15:38:10 分类:帮助文档
Linux账号密码安全策略设置 前言 随着云计算厂商的兴起,云资源如ECS不再只有企业或者公司才会使用,普通人也可以自己买一台ECS来搭建自己的应用或者网站。虽然云计算厂商帮我们做了很多安全相关的工作,但并不代表我们的机器资源就绝对是安全的。 要知道有很多事情是云计算厂商不能为我们做的,就比如账号密码的安全策略配置,而账号密码的安全又是Linux安全中的第一道安全锁,我们必须重视起来。 比如一个具有公网IP的服务器,我们可以使用Linux连接工具或者ssh在本地进行连接,如果密码太简单并且没有错误次数限制,我们完全可以暴力破解出来,这属于【高危】漏洞。 账号密码策略 查看当前用户的账号密码策略 -- 输入指令 chage -l root -- 返回结果 Last password change : Jun 14, 2022 Password expires : never Password inactive : never Account expires : never Minimum number of days between password change : 0 Maximum number of days between password change : 99999 Number of days of warning before password expires : 7 -- 翻译过来: 最近一次密码修改时间 : 6月 14, 2022 密码过期时间 :从不过期 密码失效时间 :从不 帐户过期时间 :从不 两次改变密码之间相距的最小天数 :任何时候都可以改 两次改变密码之间相距的最大天数 :永远不需要改 在密码过期之前警告的天数 :7 这种账号肯定是有风险的,尤其还是root账户,一旦被破解,那这台Linux服务器基本上凉凉。 1. 设置密码失效时间【一定要设置】 设置密码失效时间,强制定期修改密码,减少密码被泄漏和猜测风险,使用非密码登陆方式(如密钥对)请忽略此项。 在 /etc/login.defs 中将 PASS_MAX_DAYS 参数设置为 60-180之间,如: --两次改变密码之间相距的最大天数,密码有效最大天数 PASS_MAX_DAYS 90 注意:以上只对之后新增的用户有效,如果要修改已存在的用户密码规则,需要使用chage命令 2. 设置密码修改最小间隔时间【一定要设置】 设置密码修改最小间隔时间,限制密码更改过于频繁 在 /etc/login.defs 中将 PASS_MIN_DAYS 参数设置为7-14之间,建议为7: --两次改变密码之间相距的最小天数,为零时代表任何时候都可以更改密码 PASS_MIN_DAYS 7 注意:以上只对之后新增的用户有效,如果要修改已存在的用户密码规则,需要使用chage命令 3. 在到期前设置警告的天数【建议设置】 设备警告的天数,可以让我们备份旧密码、准备新密码 在 /etc/login.defs 中将 PASS_WARN_AGE 参数设置为7天 PASS_WARN_AGE 7 注意:以上只对之后新增的用户有效,如果要修改已存在的用户密码规则,需要使用chage命令 4. 设置密码复杂度【一定要设置】 简单的密码安全性很差,一般建议密码长度大于8,包括大小写字母、数字、特殊字符等 在 /etc/pam.d/common-password 添加如下内容(如果没有该文件自己创建一个): # /etc/pam.d/common-password - password-related modules common to all services password requisite pam_cracklib.so retry=3 minlen=8 ucredit=-1 lcredit=-1 dcredit=-1 ocredit=-1 password [success=1 default=ignore] pam_unix.so sha512 password requisite pam_deny.so password required pam_permit.so “minlen=8”表示密码长度至少为8个字符。“ucredit=-1”表示密码中至少包含一个大写字母。“lcredit=-1”表示密码中至少包含一个小写字母。“dcredit=-1”表示密码中至少包含一个数字。“ocredit=-1”表示密码中至少包含一个特殊字符。 注意:以上只对之后新增的用户有效,如果要修改已存在的用户密码规则,需要使用chage命令 5. 检查密码重用是否受限制【一定要设置】 强制用户不重用最近使用的密码,降低密码猜测攻击风险 在/etc/pam.d/password-auth和/etc/pam.d/system-auth中password sufficient pam_unix.so 这行的末尾配置remember参数为5-24之间,原来的内容不用更改,只在末尾加了remember=5。 6. 设置SSH空闲超时退出时间【建议设置】 设置SSH空闲超时退出时间,可降低未授权用户访问其他用户ssh会话的风险 编辑/etc/ssh/sshd_config,将ClientAliveInterval 设置为300到900,即5-15分钟,将ClientAliveCountMax设置为0-3之间。 ClientAliveInterval 600 ClientAliveCountMax 2 7. 账户锁定策略【一定要设置】 策略要求: 设定锁定的阈值为5次锁定时间为5分钟即300秒必须所有用户都受限,包括root 修改配置文件/etc/pam.d/system-auth-ac和/etc/pam.d/password-auth-ac /etc/pam.d/system-auth-ac文件替换如下: auth required pam_env.so auth required pam_tally2.so even_deny_root deny=5 unlock_time=60 auth sufficient pam_unix.so nullok try_first_pass auth requisite pam_succeed_if.so uid >= 1000 quiet_success auth required pam_deny.so account required pam_unix.so account required pam_tally2.so account sufficient pam_localuser.so account sufficient pam_succeed_if.so uid < 1000 quiet account required pam_permit.so /etc/pam.d/password-auth-ac文件替换如下: auth required pam_env.so auth required pam_tally2.so deny=5 unlock_time=60 auth sufficient pam_unix.so nullok try_first_pass auth requisite pam_succeed_if.so uid >= 1000 quiet_success auth required pam_deny.so account required pam_unix.so account required pam_tally2.so account sufficient pam_localuser.so account sufficient pam_succeed_if.so uid < 1000 quiet account required pam_permit.so 查看用户锁定状态 -- 输入命令 pam_tally2 -u root -- 输出结果 Login Failures Latest failure From root 0 解锁状态 -- 输入命令 pam_tally2 -r -u root -- 输出结果 Login Failures Latest failure From root 0 温馨提示:login.defs文件和/etc/pam.d/system-auth文件的规则设置对非root用户起作用,在root用户下则不会生效!如果设置root用户密码过期时间等,需要用chage命令进行设置。 chage命令使用示例: 基本格式:chage [选项] 账户名 -- 查看系统账户的当前设置 chage -l username -- 设置用户设置密码失效时间 chage --maxdays 90 username -- 设置用户密码修改最小间隔时间 chage --mindays 7 username
上一篇
网站云服务器租用多少钱
下一篇
惠州戴尔服务器租用多少钱
相关文章
安卓系统怎么登陆vps
大陆给香港供电怎么拉线的
Linux中利用mount命令进行挂载
ecshop 数据库主机怎么填
电脑服务器崩溃怎么办
家用NAS安装大礼包-PVE+OMV+常用soft详细安装教程
阿里云成功部署【幻兽帕鲁Palworld】服务器步骤教程
阳光互联域名实名要怎么样
【Foxmail】客户端发送邮件错误:SSL Recv -服务器断开连接, errorCode- 6
香港云服务器租用推荐
服务器租用资讯
·广东云服务有限公司怎么样
·广东云服务器怎么样
·广东锐讯网络有限公司怎么样
·广东佛山的蜗牛怎么那么大
·广东单位电话主机号怎么填写
·管家婆 花生壳怎么用
·官网域名过期要怎么办
·官网邮箱一般怎么命名
·官网网站被篡改怎么办
服务器租用推荐
·美国服务器租用
·台湾服务器租用
·香港云服务器租用
·香港裸金属服务器
·香港高防服务器租用
·香港服务器租用特价
7*24H在线售后
高可用资源,安全稳定
1v1专属客服对接
无忧退款试用保障
德讯电讯股份有限公司
电话:00886-982-263-666
台湾总部:台北市中山区建国北路一段29号3楼
香港分公司:九龙弥敦道625号雅兰商业二期906室
服务器租用
香港服务器
日本服务器
台湾服务器
美国服务器
高防服务器购买
香港高防服务器出租
台湾高防服务器租赁
美国高防服务器DDos
云服务器
香港云服务器
台湾云服务器
美国云服务器
日本云服务器
行业新闻
香港服务器租用
服务器资讯
香港云服务器
台湾服务器租用
zblog博客
香港VPS
关于我们
机房介绍
联系我们
Copyright © 1997-2024 www.hkstack.com All rights reserved.