文章详情

短信预约-IT技能 免费直播动态提醒

请输入下面的图形验证码

提交验证

短信预约提醒成功

服务器弱口令漏洞修复策略

2023-08-31 13:16

关注

1、完善密码策略,密码长度至少为8(包括)位以上字符,且包含数字、大小写字母、特殊字符。

vi /etc/pam.d/system-auth

password requisite pam_cracklib.so try_first_pass retry=3 minlen=8 ocredit=-1 ucredit=-1 lcredit=-1 dcredit=-1

try_first_pass retry=3:在密码设置交互界面,用户有 3 次机会重设密码。

minlen=:此选项用来设置新密码的最小长度ucredit= :此选项用来设定新密码中可以包含的大写字母的最大数目。-1 至少一个

lcredit=:此选项用来设定新密码中可以包含的小写字母的最大数目

dcredit=:此选项用来设定新密码中可以包含的数字的最大数目

注:这个密码强度的设定只对普通用户有限制作用,root用户无论修改自己的密码还是修改普通用户的时候,不符合强度设置依然可以设置成功

2、限制ssh方式登录(设置普通用户和root用户连续错误登陆的最大次数,当超过最大次数,锁定该用户,并设置在一定时间后解锁)

vim /etc/pam.d/login

# 添加如下一行:

uth required pam_tally2.so deny=3 unlock_time=100 even_deny_root root_unlock_time=300

deny: 设置普通用户和root用户连续错误登陆的最大次数,超过最大次数,则锁定该用户

unlock_time: 设定普通用户锁定后,多少时间后解锁,单位是秒

root_unlock_time: 设定root用户锁定后,多少时间后解锁,单位是秒

3、限制用户的登录次数(设置账号锁定并在一定时间内解锁)

设置账号锁定并在一定时间内解锁

# vi /etc/pam.d/system-auth

auth required pam_tally2.so onerr=fail audit silent deny=5 unlock_time=900

4、开启用户在无操作一定时间后自动退出终端

echo $TMOUT # 如果输出空或0表示不超时,大于0的数字n表示n秒没有收入则超时 #

vi /etc/profile

# 加入如下代码

export TMOUT=900

# 900即900秒内无操作自动退出终端,若修改为0就是设置不超时

source /etc/profile # 让配置立即生效

5、设置ip访问黑白名单(设置SSH只允许特定用户从特定的IP登录,其它未经允许的用户和IP都不能登录)

允许ip访问:

# vim /etc/hosts.allow

#最后一行加入:

sshd:192.168.0.28:allow //多个IP可以按照此格式写多行

sshd:192.168.18.1:allow

sshd:192.168.18.2:allow

禁止ip访问

# vim /etc/hosts.deny

#最后一行添加你要禁止的ip就可以了

sshd:192.168.1.14:deny

拒绝所有:

# vim /etc/hosts.deny,最后一行加入:

sshd:ALL //除了上面允许登录的IP,其它IP都拒绝登录

示例:若只允许192.168.1网段的主机登录

# vim /etc/hosts.allow

#最后一行加入:

sshd:192.168.1.*:allow

# vim /etc/hosts.deny

#最后一行加入:

sshd:ALL //除了上面允许登录的IP,其它IP都拒绝登录

示例:若只允许192.168.0.28以test1用户身份、192.168.1.13以root用户身份登录192.168.1.81

# vim /etc/ssh/sshd_config

#最后一行加入:

AllowUsers test1@192.168.0.28 root@192.168.1.13 //多个用户名@IP之间使用空格分隔

6、设置密码可使用的最大天数

# vi /etc/login.defs

PASS_MAX_DAYS 90

#这一参数限制一个密码可使用的最大天数。它强制用户在过期前修改他/她的密码。如果他们忘记修改,那么他们会登录不了系统。他们需要联系管理员才能正常登录。这里将天数设置为 90 天。

7、设置密码最小天数

# vi /etc/login.defs

PASS_MIN_DAYS 15

#这个参数限制两次修改之间的最少天数。举例来说,如果这个参数被设置为 15 天,用户今天修改了密码,那么在 15 天之内他都不能修改密码。这里将天数设置为 15 天。

8、设置密码警告天数

# vi /etc/login.defs

PASS_WARN_AGE 10

#这个参数控制密码警告的前置天数,在密码即将过期时会给用户警告提示。在警告天数结束前,用户会收到日常警告提示。这可以提醒用户在密码过期前修改他们的密码,否则我们就需要联系管理员来解锁密码。这里将天数设置为 10 天。

9、强制用户首次登录时修改默认口令,使用用户自定义初始密码策略

chage -d 0 用户名

如图:

(current)UNIX password:

\#输入旧密码

New password:

Retype new password:

\#输入两次新密码

登录。

来源地址:https://blog.csdn.net/m0_63004677/article/details/129499226

阅读原文内容投诉

免责声明:

① 本站未注明“稿件来源”的信息均来自网络整理。其文字、图片和音视频稿件的所属权归原作者所有。本站收集整理出于非商业性的教育和科研之目的,并不意味着本站赞同其观点或证实其内容的真实性。仅作为临时的测试数据,供内部测试之用。本站并未授权任何人以任何方式主动获取本站任何信息。

② 本站未注明“稿件来源”的临时测试数据将在测试完成后最终做删除处理。有问题或投稿请发送至: 邮箱/279061341@qq.com QQ/279061341

软考中级精品资料免费领

  • 历年真题答案解析
  • 备考技巧名师总结
  • 高频考点精准押题
  • 2024年上半年信息系统项目管理师第二批次真题及答案解析(完整版)

    难度     813人已做
    查看
  • 【考后总结】2024年5月26日信息系统项目管理师第2批次考情分析

    难度     354人已做
    查看
  • 【考后总结】2024年5月25日信息系统项目管理师第1批次考情分析

    难度     318人已做
    查看
  • 2024年上半年软考高项第一、二批次真题考点汇总(完整版)

    难度     435人已做
    查看
  • 2024年上半年系统架构设计师考试综合知识真题

    难度     224人已做
    查看

相关文章

发现更多好内容

猜你喜欢

AI推送时光机
位置:首页-资讯-服务器
咦!没有更多了?去看看其它编程学习网 内容吧
首页课程
资料下载
问答资讯