服务器安全加固_Linux配置账户锁定策略

使用下面命令，查看系统是否含有pam_tally2so模块，如果没有就需要使用pam_tallyso模块，两个模块的使用方法不太一样，需要区分开来。

编辑系统/etc/pamd/system-auth 文件，一定要在pam_envso后面添加如下策略参数：

上面只是限制了从终端su登陆，如果想限制ssh远程的话，要改的是/etc/pamd/sshd这个文件，添加的内容跟上面一样！

编辑系统/etc/pamd/sshd文件，注意添加地点在#%PAM-10下一行，即第二行添加内容

ssh锁定用户后查看：

编辑系统 /etc/pamd/login 文件，注意添加地点在#%PAM-10的下面,即第二行，添加内容

tty登录锁定后查看：

编辑 /etc/pamd/remote文件，注意添加地点在pam_envso后面,参数和ssh一致

01首先打开控制面板，进入“管理工具”，然后双击打开“本地安全策略”
02使用鼠标右键单击左方的“IP 安全策略，在 本地计算机”选项，并选择“创建 IP 安全策略”选项
03点击“下一步”按钮
04设置一个IP策略名称，例如设置为“端口限制策略”，使用其它名称也可以
05点击“下一步”按钮
06去掉“激活默认响应规则”选项的勾
07点击“下一步”按钮
08点击“完成”按钮
09去掉右导”选项的勾
10现在先开始添止所有机器访问服务器，点击“添加”按钮
11点击“添加”按钮
12设置IP筛选器的名称，例如设置为“禁止所有机器访问服务器”，使用其它名称也可以
13点击“添加”按钮
14如果该服务器不打算上网，则可以将“源地址”设置为“任何 IP 地址”。如果需要上网，建议设置为“一个特定的 IP 子网”，并设置IP地址为与该服务器IP地址相同的网段，例如服务器IP地址是192168110，则可以设置为19216810，也就是前面3个数字是相同的，后面最后一位填1即可，并设置子网掩码，这个设置和服务器子网掩码一致即可（具体请自行查看服务器的子网掩码），如果局域网都是在1921681的范围，则直接设置为2552552550即可
15将“目标地址”设置为“我的 IP 地址”
16点击“确定”按钮
17点击“确定”按钮
18选择刚创建的IP筛选器（即12步中设置的名称）
19切换到“筛选器 *** 作”选项页
20去掉“使用添加向导”选项的勾
21点击“添加”按钮
22选择“阻止”选项
23切换到“常规”选项页
24设置筛选器 *** 作名称，建议设置为“禁止”或“阻止”，使用其它名称也可以
25点击“确定”按钮
26选择刚创建的筛选器 *** 作（即24步设置的名称）
27点击“应用”按钮
28点击“确定”按钮
29现在开始添加允许访问该服务器的机器，点击“添加”按钮
30点击“添加”按钮
31设置IP筛选器名称，建议设置为“允许访问的机器”，使用其它名称也可以
32点击“添加”按钮
33将“源地址”设置为“一个特定的 IP 地址”，并设置下方的IP地址为允许访问该服务器的IP中的一个（每次只能添加一个，所以需要慢慢添加）
34设置“目标地址”为“我的 IP 地址”
35点击“确定”按钮
36重复32至35步将要允许访问该服务器的IP全部添加
37点击“确定”按钮
38选择刚创建的“IP 筛选器”（即31步设置的名称）
39切换到“筛选器 *** 作”选项页
40选择“许可”选项
41点击“应用”按钮
42点击“确定”按钮
43点击“确定”按钮
44使用鼠标右键单击刚创建的IP策略（即第4步设置的名称），并选择“指派”即可
45以后需要添加、修改、删除允许访问的IP时，可以编辑该IP策略的IP筛选器进行设置
注意：需要注意的是并非设置了IP策略后就能100%保证其它机器无法访问服务器，因为如果他人知道您允许哪个IP访问该服务器，对方可以修改自己的IP地址，以获得访问权限IP，这样您的策略就失效了。因此您可能还需要在服务器上绑定允许访问该服务器的IP地址的MAC地址（可以使用ARP -S命令来绑定），并在路由器中对这些IP绑定MAC地址。不过对方也可以修改MAC地址来获取访问权限，因此使用IP安全策略并非绝对安全。

---