1)–设置启用空闲激活、屏幕锁定、屏保和空闲激活时间
# gconftool-2 --direct --config-source xml:readwrite:/etc/gconf/gconf.xml.mandatory --type bool --set /apps/gnome-screensaver/idle_activation_enabled true # gconftool-2 --direct --config-source xml:readwrite:/etc/gconf/gconf.xml.mandatory --type bool --set /apps/gnome-screensaver/lock_enabled true # gconftool-2 --direct --config-source xml:readwrite:/etc/gconf/gconf.xml.mandatory --type string --set /apps/gnome-screensaver/mode blank-only # gconftool-2 --direct --config-source xml:readwrite:/etc/gconf/gconf.xml.mandatory --type string --set /apps/gnome-screensaver/idle_delay 15
2)–设置密码复杂度
1、执行备份:
#cp -p /etc/pam.d/system-auth /etc/pam.d/system-auth_bak
2、修改策略设置:
可使用pam pam_cracklib module或pam_passwdqc module实现密码复杂度,两者不能同时使用。
pam_cracklib主要参数说明:
tretry=N:重试多少次后返回密码修改错误
difok=N:新密码必需与旧密码不同的位数
dcredit=N:N >= 0密码中最多有多少个数字;N < 0密码中最少有多少个数字
lcredit=N:小写字母的个数
ucredit=N:大写字母的个数
credit=N:特殊字母的个数
minclass=N:密码组成(大/小字母,数字,特殊字
#vi /etc/pam.d/system-auth
password requisite pam_pwquality.so这一行后增加 minlen=8 minclass=2
3)–设置登录超时、csh shell 下的自动超时变量
1、执行备份:
#cp -p /etc/profile /etc/profile_bak
#cp -p /etc/csh.cshrc /etc/csh.cshrc_bak
2、在/etc/profile文件增加以下两行:
#vi /etc/profile
TMOUT=180
export TMOUT
3、修改/etc/csh.cshrc文件,添加如下行:
#vi /etc/csh.cshrc
set autologout=30
改变这项设置后,重新登录才能有效
4)–设置口令锁定策略
1、执行备份:
#cp -p /etc/pam.d/system-auth /etc/pam.d/system-auth_bak
2、修改策略设置:
#vi /etc/pam.d/system-auth
增加下行代码到第二行
auth required pam_tally2.so deny=6 onerr=fail no_magic_root unlock_time=120
保存退出;
5)–修改密码有效期及最小长度
1、执行备份:
#cp -p /etc/login.defs /etc/login.defs_bak
2、修改策略设置:
#vi /etc/login.defs
修改PASS_MIN_LEN的值为8
修改PASS_MAX_DAYS的值为90
按要求修改PASS_MIN_DAYS/PASS_WARN_AGE的值
保存退出
6)–配置登录提示-是否更改telnet警告Banner
步骤1
修改文件/etc/motd的内容,如没有该文件,则创建它。
#echo “Authorized users only. All activity may be monitored and reported” > /etc/motd
步骤 2 修改Telnet回显信息
修改文件/etc/issue 和/etc/issue.net中的内容:
#echo “Authorized users only. All activity may be monitored and reported” > /etc/issue
#echo “Authorized users only. All activity may be monitored and reported” > /etc/issue.net
7)–禁止root用户远程登录系统
1、执行备份:
#cp -p /etc/securetty /etc/securetty_bak
#cp -p /etc/ssh/sshd_config /etc/ssh/sshd_config_bak
2、禁止root用户远程登录系统
#vi /etc/securetty
#注释形如pts/x的行,保存退出,则禁止了root从telnet登录。
#vi /etc/ssh/sshd_config
修改PermitRootLogin设置为no并不被注释,保存退出,则禁止了root从ssh登录。
3、重启SSHD服务
#service sshd restart
8)–锁定无用帐户
1、执行备份:
#cp -p /etc/passwd /etc/passwd_bak
#cp -p /etc/shadow /etc/shadow_bak
2、锁定无用帐户:
#vi /etc/shadow
在需要锁定的用户名的密码字段前面加!,如test:!
1
1
1QD1ju03H$LbV4vdBbpw.MY0hZ2D/Im1:14805:0:99999:7:::
9)–umask 027表示默认创建新文件权限为750 也就是rxwr-x—
1、执行备份:
cp -p /etc/profile /etc/profile_bak
cp -p /etc/csh.login /etc/csh.login_bak
cp -p /etc/csh.cshrc /etc/csh.cshrc_bak
cp -p /etc/bashrc /etc/bashrc_bak
cp -p /root/.bashrc /root/.bashrc_bak
cp –p /root/.cshrc /root/.cshrc_bak
2、修改umask设置:
#vi /etc/profile
#vi /etc/csh.login
#vi /etc/csh.cshrc
#vi /etc/bashrc
#vi /root/.bashrc
#vi /root/.cshrc
最后一行增加 umask 027,保存退出。
10)–配置提示信息
1、执行如下命令创建ssh banner信息文件:
#touch /etc/sshbanner
#chown bin:bin /etc/sshbanner
#chmod 644 /etc/sshbanner
#echo “Authorized users only. All activity may be monitored and reported” > /etc/sshbanner
2、修改/etc/ssh/sshd_config文件,添加如下行:
vi /etc/ssh/sshd_config
Banner /etc/sshbanner
步骤 3 重启sshd服务:
#service sshd restart
11)–防止5个最近使用过的密码被用来设置为新密码
1、执行备份:
#cp -p /etc/pam.d/system-auth /etc/pam.d/system-auth_bak
2、创建文件/etc/security/opasswd,并设置权限:
#touch /etc/security/opasswd
#chown root:root /etc/security/opasswd
#chmod 600 /etc/security/opasswd
2、修改策略设置:
#vi /etc/pam.d/system-auth
增加 password required pam_unix.so remember=5
12)–关闭 ICMP 路由重定向
1、备份文件:
#cp -p /etc/sysctl.conf /etc/sysctl.conf_bak
2、执行:
#vi /etc/sysctl.conf
加上net.ipv4.conf.all.accept_redirects=0
执行
/sbin/sysctl -p
13)–增加不能通过ftp登录的用户
1、修改ftpusers文件,增加不能通过ftp登录的用户
首先需确定ftpusers文件位置,可以通过以下命令知道:
#cat /etc/pam.d/vsftpd
auth required pam_listfile.so item=user sense=deny file=/etc/vsftpd.ftpusers onerr=succeed
其中file=/etc/vsftpd/ftpusers即为当前系统上的ftpusers文件。
修改文件(假设文件为/etc/ftpusers):
vi /etc/vsftpd/ftpusers
在文件中增加以下用户,则该用户均不允许通过ftp登录:
sys
nuucp
listen
noaccess
nobody4
14)关闭匿名用户登入
#vi /etc/vsftpd/vsftpd.conf
yes调整为no
anonymous_enable=NO
欢迎分享,转载请注明来源:内存溢出
评论列表(0条)