安装完Linux需要做的关于安全的事

故事是这样子的

最近主机受到攻击,原因可能是redis集群没有设置密码(因为快过期了,不想搞得太复杂就没设),然后被人家搞事情了,就被人一把set了些执行脚本,形如curl -fsSL | sh,真的是猥琐啊,我登上主机一看,简直是猥琐至极,不能忍了啊。

⚡/ataola/github  ssh root@xx.xxx.xxx.xxx root@xx.xxx.xxx.xxx's password: Last failed login: Sat Jul 11 09:52:04 CST 2020 from 182.61.37.35 on ssh:notty There were 206 failed login attempts since the last successful login. Last login: Fri Jul 10 16:42:01 2020 from 122.224.125.196 ⚡ root@ataola  ~ 

以下是我做的一些努力,分享一下。

Linux账户口令生存期策略

口令老化(Password aging)是一种增强的系统口令生命期认证机制,能够确保用户的口令定期更换,提高系统安全性。

我们可以这样子做,把密码设置成三个月过期,具体的操作步骤如下:

# 打开etc目录下的login.defs vim /etc/login.defs # 添加楼下内容 PASS_MAX_DAYS 90 Linux账户登录失败锁定策略

设置账户登录失败锁定策略,加大用户口令被暴力破解的难度。

我们可以这样子做,只要是对面那位连续输错5次密码,我们就给它关小黑屋5分钟。,具体的操作步骤如下:

# 打开etc目录下的pam.d下的password-auth文件 vim /etc/pam.d/password-auth # 添加楼下内容 auth required pam_tally2.so deny=5 unlock_time=300 even_deny_root root_unlock_time=300 account required pam_tally2.so Linux账户超时自动登出策略

配置帐户超时自动登出,在用户输入空闲一段时间后自动断开。

具体操作如下:

# 打开/etc/profile vim /etc/profile # 输入楼下内容 export TMOUT=180 限制root用户远程登录策略

限制root权限远程登录。先以普通权限用户远程登录后,再切换到超级管理员权限账号后执行相应操作,可以提升系统安全性。

具体操作如下:

# 打开/etc/ssh/sshd_config vim /etc/ssh/sshd_config # 添加楼下内容 PermitRootLogin no # 重启sshd服务 更改ssh监听端口

SSH监听在默认的22端口容易受到暴力破解攻击,修改为非默认端口可以提高系统的安全性

具体操作是修改/etc/ssh/sshd_config配置文件中的端口字段配置(Port字段),并重启服务

终极大招

封ip吧。。。。。。


本作品采用知识共享署名-非商业性使用-相同方式共享 4.0 国际许可协议进行许可。

内容版权声明:除非注明,否则皆为本站原创文章。

转载注明出处:https://www.heiqu.com/zygsws.html