阿裏雲ECS基礎ssh加固和密碼機制設置
阿新 • • 發佈:2019-04-17
inf days 帳戶 小寫字母 sha 模塊 dom gre rand 設置ssh日誌級別
編輯 /etc/ssh/sshd_config 文件以按如下方式設置參數(取消註釋): LogLevel INFO設置配置文件權限
[email protected]:~#chown root:root /etc/hosts.allow
[email protected]:~#chown root:root /etc/hosts.deny
[email protected]:~#chmod 644 /etc/hosts.deny
[email protected]:~#chmod 644 /etc/hosts.allow 開啟地址空間布局隨機化
執行命令: sysctl -w kernel.randomize_va_space=2確保root是唯一的UID為0的帳戶或者更改root用戶名稱
[email protected]:~#cat /etc/passwd | awk -F: ‘($3 == 0) { print $1 }‘|grep -v ‘^root$‘檢查密碼重用是否受限制(強制用戶不重用最近使用的密碼,降低密碼猜測***風險)
編輯/etc/pam.d/common-password,在"password [success=1 default=ignore] pam_unix.so"開頭的這一行增加配置remember設置為5-24之間,建議為5,即在行末尾加上參數remember=5
設置密碼復雜度和修改密碼最小時間間隔 密碼失效時間
密碼復雜度
1、安裝PAM的cracklib模塊,執行命令: apt-get update&&apt-get install libpam-cracklib 2、編輯/etc/pam.d/common-password,在"password requisite pam_cracklib.so"開頭的這一行配置minclass(至少包含小寫字母、大寫字母、數字、特殊字符等4類字符中的3類或4類)設置為3或4,即在行末尾加上參數minclass=3;在"password [success=1 default=ignore] pam_unix.so"開頭的這一行增加配置minlen(密碼最小長度)設置為9-32位,建議為9,即在行末尾加上參數minlen=9
時間間隔
在 /etc/login.defs 中將 PASS_MIN_DAYS 參數設置為7-14之間,建議為7: PASS_MIN_DAYS 7 需同時執行命令為root用戶設置: chage --mindays 7 root失效時間
使用非密碼登陸方式如密鑰對,請忽略此項。在 /etc/login.defs 中將 PASS_MAX_DAYS 參數設置為 60-180之間,如 PASS_MAX_DAYS 90。需同時執行命令設置root密碼失效時間: chage --maxdays 90 root。設置用戶權限配置文件的權限
[email protected]:~# chown root:root /etc/passwd /etc/shadow /etc/group /etc/gshadow
[email protected]:~#chmod 0644 /etc/group
[email protected]:~#chmod 0644 /etc/passwd
[email protected]:~#chmod 0400 /etc/shadow
[email protected]:~# chmod 0400 /etc/gshadow 設置i權限
[email protected]:~#chattr -i /etc/passwd /etc/shadow /etc/group /etc/gshadow設置Max AuthTrimes和客戶端超時
[email protected]:~#cecho "ClientAliveInterval 900" >>/etc/ssh/sshd_config && echo "ClientAliveCountMax 0" >>/etc/ssh/sshd_config &&echo "MaxAuthTries 4">>/etc/ssh/sshd_config && /etc/init.d/ssh reload設置redis的監聽
盡量設置為內網監聽,如果強制外網 做好iptables的處理阿裏雲ECS基礎ssh加固和密碼機制設置