linux安全管理-会话安全

文章目录

• • [1 设置命令行界面超时退出](#1 设置命令行界面超时退出)
  • [2 配置终端登录失败策略](#2 配置终端登录失败策略)
  • [3 配置 SSH 登录失败策略](#3 配置 SSH 登录失败策略)

1 设置命令行界面超时退出

1、检查内容
检查操作系统是否设置命令行界面超时退出。
2、配置要求
操作系统设置命令行界面超时退出。
3、配置方法
配置命令行界面超时时间，编辑/etc/profile 文件，在文件尾部添加如下配置：export TMOUT=600（单位：秒），注销用户，再用该
用户登录激活该功能。
配置方法如下：
echo "TMOUT=120" >>/etc/profile 

2 配置终端登录失败策略

1、检查内容
检查操作系统是否配置终端登录失败策略。
2、配置要求
操作系统配置终端登录失败策略。
3、配置方法
编辑/etc/pam.d/login 文件，配置登录失败策略。
配置方法如下：
sed -i '1a\auth required pam_tally2.so onerr=fail deny=3 unlock_time=300 even_deny_root root_unlock_time=300' /etc/pam.d/login

3 配置 SSH 登录失败策略

1、检查内容
检查操作系统是否配置 SSH 登录失败策略。
2、配置要求
操作系统配置 SSH 登录失败策略。
3、配置方法
编辑/etc/pam.d/sshd 文件，配置 SSH 登录失败策略。
配置方法如下：
sed -i '1a\auth required pam_tally2.so onerr=fail deny=3 unlock_time=300 even_deny_root root_unlock_time=300' /etc/pam.d/sshd
说明：SSH 登录时连续输错 3 次密码，用户将被锁定 300 秒。