linux安全加固

目录

• • 1.查看所有用户
  • 2.查看所有用户密码(非明文显示)
  • 3.查看chb这个用户的是否被锁定
  • 4.锁定chb这个用户（小写的L）
  • 5.解锁chb这个用户
  • 6.创建、删除用户
  • 7.查看所有进程
  • 8.结束进程（PID）
  • 9.查看空口令用户
  • 10.查看UID为零用户，一般为root用户
  • 11.修改口令复杂度配置文件
  • 12.查看chb这个用户的密码过期时间
  • 13.修改chb这个用户的密码最短使用天数为1天
  • 14.修改chb这个用户的密码最长使用天数为90天
  • 15.修改chb这个用户的密码过期之前14天发出警告提醒
  • 16.修改chb用户到2032年10月25日过期
  • 17.设置输错密码5次锁定10分钟
    • Ubuntu查看登录失败信息
    • centos7分别修改/etc/pam.d/system-auth文件和/etc/pam.d/password-auth文件
    • 提前解锁被锁定的用户
    • centos7查看登录失败信息
  • 18.禁止普通用户使用su命令切换到root用户
• 编辑该文件
• 编辑该文件
  • 19.将普通用户添加到wheel组，则该普通用户即可使用su命令切换到root
• 将chen用户添加到wheel组
• 将test用户移除出wheel组
  • 20.禁止使用root用户登录SSH
• 重启ssh服务
• 总结

1.查看所有用户

cat /etc/passwd

2.查看所有用户密码(非明文显示)

cat /etc/shadow

3.查看chb这个用户的是否被锁定

passwd -S chb

4.锁定chb这个用户（小写的L）

注意：锁定后将无法使用图形界面登录到该用户，需谨慎操作。

passwd -l chb

5.解锁chb这个用户

passwd -u chb

6.创建、删除用户

#创建名为testuser1的用户
useradd testuser1#删除该用户
userdel testuser1

7.查看所有进程

ps -ef

8.结束进程（PID）

#结束指定PID号的进程（5992是PID）
kill 5992

9.查看空口令用户

awk -F: '($2=="")' /etc/shadow

10.查看UID为零用户，一般为root用户

awk -F: '($3==0)' /etc/passwd

11.修改口令复杂度配置文件

nano /etc/login.defsPASS_MAX_DAYS   90   
PASS_MIN_DAYS   1 
PASS_MIN_LEN    8
PASS_WARN_AGE   14

PASS_MAX_DAYS 90 //密码最长使用天数90天
PASS_MIN_DAYS 1 //密码最短使用天数1天
PASS_MIN_LEN 8 //密码最短长度不小于8个字符
PASS_WARN_AGE 14 //密码过期之前提前14天发出警告提醒

12.查看chb这个用户的密码过期时间

chage -l chb

chage的参数包括
-m 密码可更改的最小天数。为零时代表任何时候都可以更改密码。
-M 密码保持有效的最大天数。
-W 用户密码到期前，提前收到警告信息的天数。
-E 帐号到期的日期。过了这天，此帐号将不可用。
-d 上一次更改的日期
-i 停滞时期。如果一个密码已过期这些天，那么此帐号将不可用。
-l 例出当前的设置。由非特权用户来确定他们的密码或帐号何时过期。

13.修改chb这个用户的密码最短使用天数为1天

chage -m 1 chb

14.修改chb这个用户的密码最长使用天数为90天

chage -M 90 chb

15.修改chb这个用户的密码过期之前14天发出警告提醒

chage -W 14 chb

16.修改chb用户到2032年10月25日过期

chage -E 2032-10-25 chb

17.设置输错密码5次锁定10分钟

Ubuntu查看登录失败信息

grep 'authentication failure' /var/log/auth.log

centos7分别修改/etc/pam.d/system-auth文件和/etc/pam.d/password-auth文件

nano /etc/pam.d/system-auth
nano /etc/pam.d/password-auth

在#%PAM-1.0的下面一行添加如下内容：

auth        required      pam_faillock.so preauth silent audit deny=5 even_deny_root unlock_time=600
auth        sufficient    pam_unix.so nullok try_first_pass
auth        [default=die] pam_faillock.so authfail audit deny=5 even_deny_root unlock_time=600

提前解锁被锁定的用户

#提前解锁chen这个用户
faillock --user chen --reset

centos7查看登录失败信息

grep 'Failed password' /var/log/secure
faillock

18.禁止普通用户使用su命令切换到root用户

编辑该文件

nano /etc/pam.d/su

将#auth required pam_wheel.so ues_uid这行注释取消

编辑该文件

nano /etc/login.defs

在最后添加一行SU_WHEEL_ONLY yes

此时普通用户无法使用su命令切换到root

19.将普通用户添加到wheel组，则该普通用户即可使用su命令切换到root

此时只能使用root图形界面登录进入，才能执行以下命令

将chen用户添加到wheel组

gpasswd -a chen wheel

将test用户移除出wheel组

gpasswd -d test wheel

20.禁止使用root用户登录SSH

nano /etc/ssh/sshd_config

将PermitRootLogin yes改为PermitRootLogin no

重启ssh服务

service sshd restart

注意事项

总结

未完待续