服务器安全加固_Linux配置账户锁定策略

服务器安全加固_Linux配置账户锁定策略,第1张

使用下面命令,查看系统是否含有pam_tally2so模块,如果没有就需要使用pam_tallyso模块,两个模块的使用方法不太一样,需要区分开来。

编辑系统/etc/pamd/system-auth 文件,一定要在pam_envso后面添加如下策略参数:

上面只是限制了从终端su登陆,如果想限制ssh远程的话,要改的是/etc/pamd/sshd这个文件,添加的内容跟上面一样!

编辑系统/etc/pamd/sshd文件,注意添加地点在#%PAM-10下一行,即第二行添加内容

ssh锁定用户后查看:

编辑系统 /etc/pamd/login 文件,注意添加地点在#%PAM-10的下面,即第二行,添加内容

tty登录锁定后查看:

编辑 /etc/pamd/remote文件,注意添加地点在pam_envso后面,参数和ssh一致

01首先打开控制面板,进入“管理工具”,然后双击打开“本地安全策略”
02使用鼠标右键单击左方的“IP 安全策略,在 本地计算机”选项,并选择“创建 IP 安全策略”选项
03点击“下一步”按钮
04设置一个IP策略名称,例如设置为“端口限制策略”,使用其它名称也可以
05点击“下一步”按钮
06去掉“激活默认响应规则”选项的勾
07点击“下一步”按钮
08点击“完成”按钮
09去掉右导”选项的勾
10现在先开始添止所有机器访问服务器,点击“添加”按钮
11点击“添加”按钮
12设置IP筛选器的名称,例如设置为“禁止所有机器访问服务器”,使用其它名称也可以
13点击“添加”按钮
14如果该服务器不打算上网,则可以将“源地址”设置为“任何 IP 地址”。如果需要上网,建议设置为“一个特定的 IP 子网”,并设置IP地址为与该服务器IP地址相同的网段,例如服务器IP地址是192168110,则可以设置为19216810,也就是前面3个数字是相同的,后面最后一位填1即可,并设置子网掩码,这个设置和服务器子网掩码一致即可(具体请自行查看服务器的子网掩码),如果局域网都是在1921681的范围,则直接设置为2552552550即可
15将“目标地址”设置为“我的 IP 地址”
16点击“确定”按钮
17点击“确定”按钮
18选择刚创建的IP筛选器(即12步中设置的名称)
19切换到“筛选器 *** 作”选项页
20去掉“使用添加向导”选项的勾
21点击“添加”按钮
22选择“阻止”选项
23切换到“常规”选项页
24设置筛选器 *** 作名称,建议设置为“禁止”或“阻止”,使用其它名称也可以
25点击“确定”按钮
26选择刚创建的筛选器 *** 作(即24步设置的名称)
27点击“应用”按钮
28点击“确定”按钮
29现在开始添加允许访问该服务器的机器,点击“添加”按钮
30点击“添加”按钮
31设置IP筛选器名称,建议设置为“允许访问的机器”,使用其它名称也可以
32点击“添加”按钮
33将“源地址”设置为“一个特定的 IP 地址”,并设置下方的IP地址为允许访问该服务器的IP中的一个(每次只能添加一个,所以需要慢慢添加)
34设置“目标地址”为“我的 IP 地址”
35点击“确定”按钮
36重复32至35步将要允许访问该服务器的IP全部添加
37点击“确定”按钮
38选择刚创建的“IP 筛选器”(即31步设置的名称)
39切换到“筛选器 *** 作”选项页
40选择“许可”选项
41点击“应用”按钮
42点击“确定”按钮
43点击“确定”按钮
44使用鼠标右键单击刚创建的IP策略(即第4步设置的名称),并选择“指派”即可
45以后需要添加、修改、删除允许访问的IP时,可以编辑该IP策略的IP筛选器进行设置
注意:需要注意的是并非设置了IP策略后就能100%保证其它机器无法访问服务器,因为如果他人知道您允许哪个IP访问该服务器,对方可以修改自己的IP地址,以获得访问权限IP,这样您的策略就失效了。因此您可能还需要在服务器上绑定允许访问该服务器的IP地址的MAC地址(可以使用ARP -S命令来绑定),并在路由器中对这些IP绑定MAC地址。不过对方也可以修改MAC地址来获取访问权限,因此使用IP安全策略并非绝对安全。


欢迎分享,转载请注明来源:内存溢出

原文地址: http://outofmemory.cn/zz/13502549.html

(0)
打赏 微信扫一扫 微信扫一扫 支付宝扫一扫 支付宝扫一扫
上一篇 2023-08-20
下一篇 2023-08-20

发表评论

登录后才能评论

评论列表(0条)

保存