1.设置口令过后账号仍能保持有效的最大天数
/etc/default/useradd文件
配置:
INACTIVE=60
默认是-1
2.MaxAuthTries参数指定每个链接允许的最大身份证尝试次数。登陆失败次数大道设置参数一半时,错误消息将写入syslog文件。
编辑:/etc/ssh/sshd_config
MaxAuthTries 4
修改后需要重启sshd服务
3.sshd空闲超时间隔
编辑:/etc/ssh/sshd_config
ClientAliveInterval 300
ClientAliveCountMax 0
修改后需要重启sshd服务
4.关闭nginx用户login
usermod -s /sbin/nologin 账户名
5.多次登录错误锁定账号规则
auth required pam_faillock.so preauth audit silent deny=5 unlock_time=900
auth [success=1 default=bad] pam_unix.so
auth [default=die] pam_faillock.so authfail audit deny=5 unlock_time=900
auth sufficient pam_faillock.so authsucc audit deny=5 unlock_time=900
警告:此配置有风险,存在让登录认证失效可能。请做好备份随时恢复原配置。
6.确保配置了bootloader配置的权限
grub配置文件包含有关引导设置的信息以及用于解锁引导选项的密码。
运行以下命令来设置对grub配置的权限:
chown root:root /boot/grub2/grub.cfg
chmod og-rwx /boot/grub2/grub.cfg
chown root:root /boot/grub2/grubenv
chmod og-rwx /boot/grub2/grubenv
7.确保核心转储受到限制
将以下行添加到/etc/security/limits.conf文件中:
* hard core 0
在/etc/sysctl.conf*文件中设置以下参数:
fs.suid_dumpable = 0
运行以下命令来设置活动内核参数:
# sysctl -w fs.suid_dumpable=0
8.确保启用了地址空间布局随机化(ASLR)
在/etc/sysctl.conf文件中设置以下参数:
kernel.randomize_va_space = 2
运行以下命令来设置内核参数:
# sysctl -w kernel.randomize_va_space=2