Linux系统几种安全加固策略参考（linux系统安全加固手册）

Linux系统几种安全加固策略参考。

1.修改sshd服务的端口

这么做得目的是防止黑客端口嗅探，例如，将22端口修改为58463，即使黑客通过nmap，medusa，或者其它类嗅探工具检测到了58463，很大概率它也不会知道此端口开放的服务是什么，这么一个小改动会大大的提升sshd服务的安全。

修改方法非常简单，打开/etc/ssh/sshd_config文件。Port的值改为58463，修改完成systemctl restart sshd重启sshd服务。

2.sshd限制IP登陆策略

Linux 服务器通过设置/etc/hosts.allow和/etc/hosts.deny这个两个文件（hosts.allow许可大于hosts.deny），可以限制或者允许某个或者某段IP地址远程 SSH 登录服务器，方法比较简单，且设置后立即生效，不需要重启SSHD服务，具体如下：

首先配置/etc/hosts.deny拒绝全部IP。

测试无法进行远程ssh登录。

然后配置/etc/hosts.allow放行特定IP或网段即可。多个网段可以以逗号隔开，比如sshd:192.168.0.,192.168.1.:allow。

测试特定IP或网段可进行远程登录。

3.Linux用户登陆策略

可使用usermod命令锁定账号和解除锁定账号。

usermod -L root //锁定账号，这里是root，可以替换为其它任意普通账号

usermod -U root //解除锁定账号，这里是root，可以替换为其它任意普通账号

如果是这种锁定账号，那么ssh登陆的时候，即使密码正确也会拒绝。

4.Linux 用户密码策略

用户的密码策略具体包括：1.密码的强度 2.密码的时效 ，该策略的实施是借由Linux的内核模块PAM实现。PAM模块是Linux内核的安全认证模块，说它是一个函数库也没什么问题，主要就是负责安全认证工作，例如，检查账号的登陆合法性，密码的合理性等等工作都是由这个PAM模块负责。

Linux-PAM有四种模块类型,分别代表四种不同的任务，它们是:

1. auth模块: 用来对用户的身份进行识别。如提示用户输入密码，或判断用户是否为root等，主要是认证管理。
2. account模块: 对帐号的各项属性进行检查。如是否允许登录，是否达到最大用户数或是root用户是否允许在这个终端登录等，主要是账号管理。
3. session模块: 这个模块用来定义用户登录前的及用户退出后所要进行的操作。如登录连接信息，用户数据的打开与关闭，挂载文件系统等，主要是会话管理。
4. password模块: 使用用户信息来更新。如修改用户密码，设定密码复杂度等等，主要是密码管理。

设置密码复杂度策略

vi /etc/pam.d/system-auth

找到包含pam_pwquality.so模块的行，将原有行注释并修改为如下的新配置，密码长度最少12位，至少包含一个大写字母，一个小写字母，一个数字，一个特殊符号。

password requisite pam_pwquality.so try_first_pass local_users_only retry=3 authtok_type= minlen=12 lcredit=-1 ucredit=-1 dcredit=-1 ocredit=-1 enforce_for_root

• minlen=12：密码最小长度为12个字符。
• lcredit=-1：密码应包含的小写字母的至少一个。
• ucredit=-1：密码应包含的大写字母至少一个。
• dcredit=-1：将密码包含的数字至少为一个。
• ocredit=-1：设置特殊字符的最小数量，例如@，＃、! $％等，至少要有一个。
• enforce_for_root： 确保即使是root用户设置密码，也应强制执行复杂性策略。

密码时效策略是保证按期及时的修改重要用户的密码，防止发生密码泄露，而登陆失败策略则是破坏暴力破解方式的无限登陆，比如，某个用户的密码错误，则一段时间内禁止再次登陆，如果配合密码策略，设置一个强密码，那么，暴力破解的情况是可以完全杜绝的。

1.密码时效策略

编辑 /etc/login.defs 文件，可以设置当前密码的有效期限，具体变量如下所示：

• PASS_MAX_DAYS：密码最大有效期。
• PASS_MIN_DAYS：两次修改密码的最小间隔时间。
• PASS_MIN_LEN：密码最小长度，对于root无效。
• PASS_WARN_AGE：密码过期前多少天开始提示。

2.用户登录失败策略

编辑系统/etc/pam.d/sshd文件，添加的内容，在 auth 字段所在的那一部分添加如下pam_tally2.so模块的策略参数：

auth required pam_tally2.so onerr=fail deny=5 unlock_time=300 even_deny_root root_unlock_time=300

• onerr=fail：表示连续错误。
• deny=n：表示连续登录失败次数超过n次后拒绝访问。
• unlock_time=300：表示连续登录失败后锁定的时间（秒数）为300秒。
• no_magic_root：表示连root用户也在限制范围内。
• even_deny_root ：root用户失败登录次数超过deny=n次后拒绝访问。
• root_unlock_time=300：与even_deny_root相对应的选项，如果配置该选项，则root用户在登录失败次数超出限制后被锁定指定时间为300秒。

注：用户锁定期间，无论在输入正确还是错误的密码，都将视为错误密码，并以最后一次登录为锁定起始时间，如果用户解锁后输入密码的第一次依然为错误密码，则再次重新锁定。