Linux系统安全加固的常规操作( 二 ) _Linux

retry：重试多少次后返回密码修改错误
三、设置登陆管理策略
说明：服务器必须设置登录失败处理策略，可以采取结束会话、限制非法登录次数和自动退出等措施。遭遇密码破解时，暂时锁定帐号，降低密码被猜解的可能性。
1、登录失败处理功能策略（服务器终端）
执行指令# vim /etc/pam.d/system-auth编辑系统文件，在 auth 字段所在的那一部分策略下面添加如下策略参数。
auth required pam_tally2.so onerr=fail deny=3 unlock_time=30 even_deny_root root_unlock_time=30

文章插图

备注：注意添加的位置，要写在第一行，即#%PAM-1.0的下面。如上图所示。以上策略表示，普通帐户和 root 的帐户登录连续 3 次失败，就统一锁定30 秒， 30 秒后可以解锁。如果不想限制 root 帐户，可以把 even_deny_root root_unlock_time这两个参数去掉， root_unlock_time 表示 root 帐户的锁定时间， onerr=fail 表示连续失败， deny=3,表示超过3 次登录失败即锁定。还应该注意的是，用户锁定期间，无论在输入正确还是错误的密码，都将视为错误密码，并以最后一次登录为锁定起始时间，若果用户解锁后输入密码的第一次依然为错误密码，则再次重新锁定。登陆信息可以通过日志 tail -f /var/log/secure查看。
2、登录失败处理功能策略（ssh远程连接登录）
执行指令# vim /etc/pam.d/sshd编辑SSH文件，在 auth 字段所在的那一部分策略下面添加如下策略参数。
auth required pam_tally2.so onerr=fail deny=3 unlock_time=30 even_deny_root root_unlock_time=30

文章插图

备注：上面的错误意思是在/lib64/security/ 下面找不到pam_tally.so ，而我进入到目录下，确实没找到这个文件，解决方法是将现有的 pam_tally2.so做个软连接到pam_tally.so ，先切换到目录cd /lib64/security/ ，然后再做软链接ln -s pam_tally2.so pam_tally.so 。
3、解锁账户
首先，执行指令# pam_tally2查看锁定的账户

文章插图

备注：如果密码在锁定时间内，但是又要立即进入系统，可使用下面方法解锁被锁定用户，当然这是对于root用户解锁普通用户来说的。如果root用户被锁，请等待锁定期过后在操作。
然后，执行指令# pam_tally2 -r -u root解锁指定用户，可以正常登陆系统。如下图

文章插图

四、设置安全远程管理方式
说明：当对服务器进行远程管理时，应采取必要措施，防止鉴别信息在网络传输过程中被窃听。为防止远程管理过程中，密码等敏感信息被窃听，有必要禁用te.NET等不安全的访问方式。
执行指令# systemctl status xinetd查看telnet状态
执行指令# systemctl stop xinetd禁用telnet功能
五、启用入侵防御方式
说明：操作系统遵循最小安装的原则，仅安装需要的组件和应用程序，并通过设置升级服务器等方式保持系统补丁及时得到更新。关闭与系统业务无关或不必要的服务，减小系统被黑客攻击、渗透的风险。比如禁用蓝牙功能等。
执行指令# systemctl status bluetooth查看蓝牙状态
执行指令# systemctl stop bluetooth禁用蓝牙功能
六、系统资源控制
1、系统资源访问控制
说明：通过设定终端接入方式、网络地址范围等条件限制终端登录，对接入服务器的IP、方式等进行限制，可以阻止非法入侵。
可以在/etc/hosts.allow和/etc/hosts.deny文件中配置接入限制。最好的策略就是阻止所有的主机在“/etc/hosts.deny”文件中加入“ ALL:ALL@ALL, PARANOID ” ，然后再在“/etc/hosts.allow” 文件中加入所有允许访问的主机列表。