在 Linux 系统安全基线检查中,未配置命令行超时退出是一个常见的中危风险。如果用户长时间保持登录状态但未操作,攻击者可能利用这一点进行未授权访问。
🔎 为什么需要超时退出
- 安全风险:如果管理员忘记退出终端,攻击者可能直接利用已登录的会话。
- 合规要求:等保要求命令行超时退出时间不大于 600 秒。
- 最佳实践:在服务器环境中,建议设置 300 秒(5 分钟),既能保证安全,又不会过于频繁打断正常操作。
⚠️ 风险描述
检查结果显示:系统未配置命令行超时退出。
这意味着用户在终端长时间无操作时,仍然保持登录状态,存在安全隐患。
🛠️ 解决方案
1. 修改配置文件
编辑 /etc/profile,添加以下内容:
bash
TMOUT=300
export TMOUT说明:
TMOUT单位为秒,这里设置为 300 秒(5 分钟)。- 超过该时间未操作,终端会自动退出。
2. 立即生效
执行:
bash
source /etc/profile3. 验证结果
打开一个新的终端,保持无操作,超过 300 秒后会自动退出。
📌 注意事项
-
范围:此配置对所有用户生效。
-
灵活调整:如果需要更长时间,可以设置为 600 秒,但不建议超过合规要求。
-
临时关闭 :某些场景下可以在会话中临时取消:
bashunset TMOUT -
脚本执行:不会影响后台脚本运行,只针对交互式 shell。
✅ 最佳实践
- 在 生产环境统一设置 300 秒,确保安全。
- 在 开发/测试环境,可根据需要适当放宽,但建议不超过 600 秒。
- 将此配置纳入 安全基线检查脚本,定期验证。
📝 总结
通过设置命令行无操作超时退出,可以有效防止因管理员疏忽导致的安全风险。这是 Linux 安全加固的重要一环,建议纳入日常运维流程。