登陆安全加固

密码策略

最小密码长度不少于8个字符
authconfig --passminlen=8 --update
密码中至少包含一个大写字母
authconfig --enablerequpper --update
密码中至少包含一个小写字母
authconfig --enablereqlower --update
密码中至少包含一个特殊字符
authconfig --enablereqother --update
密码中至少包含一个数字
authconfig --enablereqdigit --update

登陆策略

在用户登录系统时,应该有“For authorized users only”提示信息

修改/etc/issue文件

vim /etc/issue,在文件尾部添加一行

1

完成后,在本地登陆时就会现实登陆提示

2

只是这样的话在ssh连接时是不会有提示信息的,需要修改ssh配置文件vim /etc/ssh/sshd_config

查找Banner。在下方添加一行Banner /etc/ssh/banner,然后自己创建一个Banner文件touch /etc/ssh/banner

在文件内添加需要显示的提示信息,完成后记得重启SSH服务,systemctl restart sshd

使用效果

4

一分钟内仅允许5次登陆失败的尝试,超过5次,登陆账号锁定1分钟

修改/etc/pam.d/system-auth文件

在第一行%PAM-1.0下方增加一行

auth required pam_tally2.so onerr=fail deny=5 unlock_time=60 even_deny_root root_unlock_time=60

帐户登录连续 5 次失败,锁定该账户 60 秒, 60秒后可再次尝试登陆,解锁后的第一次登陆如果还是登陆失败会再次锁定。在锁定期间输入的密码无论对错,都会被判定为错误密码

上述操作仅适用于服务器终端,想要使ssh生效,则需要修改/etc/pam.d/sshd/etc/pam.d/login

修改方法和上面一致,在首行下面新增一行

远程用户非活动会话连接超时应小于等于5分钟

修改/etc/ssh/sshd_config文件

分别修改ClientAliveIntervalClientAliveCountMax的值为300,0,去掉注释

5