Linux 服务器安全配置

按照下面的步骤修改服务器安全配置,腾讯云主机安全不会报任何主机配置的安全问题。

一、修改默认 root 密码

passwd

二、新建用户并开启秘钥登录

1、新建用户

useradd tencent
passwd tencent

2、把新用户添加到 sudoers 列表中

echo "tencent ALL=(ALL) NOPASSWD: ALL" | tee /etc/sudoers.d/tencent

3、配置 SSH 密钥登录(新建用户操作)

ssh-keygen -t ecdsa
​
# 如果没有 authorized_keys
mv ~/.ssh/id_ecdsa.pub ~/.ssh/authorized_keys
​
# 如果有 authorized_keys
cat >> ~/.ssh/authorized_keys < ~/.ssh/id_ecdsa.pub

4、下载私钥

id_ecdsa

三、修改 SSH 配置文件

vim /etc/ssh/sshd_config
​
# 修改默认端口
Port 16585
​
# 登录时,用户必须在1分钟内输入正确密码,否则断开连接
LoginGraceTime 60
​
# 禁止使用密码登录系统
PasswordAuthentication no
​
# 禁止 root 用户登录
PermitRootLogin no
​
# 允许新建用户登录
AllowUsers seatonjiang
​
# 禁止空密码用户登录
PermitEmptyPasswords no
​
# 允许密钥认证
PubkeyAuthentication yes
​
# 允许密码错误次数
MaxAuthTries 3
​
service sshd restart

四、添加口令策略

vim /etc/login.defs
​
# 新建用户的密码最长使用天数
PASS_MAX_DAYS 90
​
# 新建用户的密码最短使用天数
PASS_MIN_DAYS 0
​
# 新建用户的密码到期提前提醒天数
PASS_WARN_AGE 7

五、口令过期后账号最长有效天数策略

vim /etc/default/useradd
​
INACTIVE=365

六、超时自动登出配置

vim /etc/profile
​
export TMOUT=1800

七、配置账户登录失败锁定策略

vim /etc/pam.d/password-auth
​
auth required pam_tally2.so deny=5 unlock_time=300 even_deny_root root_unlock_time=300
​
account required pam_tally2.so
本站文章资源均来源自网络,除非特别声明,否则均不代表站方观点,并仅供查阅,不作为任何参考依据!
如有侵权请及时跟我们联系,本站将及时删除!
如遇版权问题,请查看 本站版权声明
THE END
分享
二维码
海报
Linux 服务器安全配置
按照下面的步骤修改服务器安全配置,腾讯云主机安全不会报任何主机配置的安全问题。 一、修改默认 root 密码 passwd 二、新建用户并开启秘钥登录 1、新建用……
<<上一篇
下一篇>>