linux系统服务器加固1、中风险 未设置登录失败处理功能和登录连接超时处理功能。2、中风险 未限制默认账户的访问权限。3、中风险 未实现管理用户的权限分离。

linux安全加固,系统支持麒麟,centos,

1、中风险 未设置登录失败处理功能和登录连接超时处理功能。

1.1设置登录失败处理

复制代码
# 编辑PAM配置文件
vi /etc/pam.d/system-auth
# 在auth部分添加(针对连续失败锁定)
auth required pam_tally2.so deny=5 unlock_time=300 even_deny_root root_unlock_time=300
# 在account部分添加
account required pam_tally2.so

注意:ubuntu不能这样配置,不适用ubuntu

1.2设置登录连接超时

复制代码
# 编辑/etc/profile,在文件末尾添加
echo "export TMOUT=300" >> /etc/profile
echo "readonly TMOUT" >> /etc/profile
source /etc/profile

2、中风险 未限制默认账户的访问权限。

2.1禁止root远程SSH登录

复制代码
vi /etc/ssh/sshd_config
# 找到 PermitRootLogin 改为 no
PermitRootLogin no
# 重启sshd服务
systemctl restart sshd

2.2创建普通管理员用户并赋予sudo权限:

复制代码
# 创建用户(如admin)改成自己的用户
useradd admin
passwd admin
# 赋予sudo权限
usermod -aG wheel admin
# 验证sudo配置
visudo
# 确保有:%wheel  ALL=(ALL)       ALL
复制代码

3、中风险 未实现管理用户的权限分离

3.1创建不同管理角色账户:

复制代码
useradd sysadmin
useradd dbadmin
# 分别设置密码
passwd sysadmin
passwd dbadmin

3.2配置sudo权限分离

复制代码
visudo
# 添加以下内容(按需调整命令路径):
# sysadmin可管理服务
sysadmin ALL=(ALL) /bin/systemctl, /sbin/service, /usr/sbin/ss
# dbadmin可管理数据库
dbadmin ALL=(ALL) /bin/systemctl restart mysql, /usr/bin/mysql, /usr/bin/mysqldump

3.3启用审计监控

复制代码
yum install audit -y
systemctl start auditd
systemctl enable auditd
# 添加监控规则(例如监控sudo命令执行)
auditctl -a always,exit -F arch=b64 -S execve
相关推荐
Dovis(誓平步青云)1 小时前
《Linux CPU频率为何忽高忽低:cpufreq、idle状态与性能抖动教程》
linux·运维·服务器·spring boot·后端·生成对抗网络
小此方1 小时前
Re:Linux系统篇(四十三)信号篇·一:谁在敲进程的门?一篇带你了解信号概念与产生机制
linux·运维·驱动开发
Championship.23.248 小时前
Linux 3.0 锁机制与故障排查详解
linux·运维·服务器
天疆说8 小时前
Zotero Connector 在 Edge 里找不到桌面 Zotero(Linux / Zotero 9.0.6 / Edge 150)
linux·前端·edge
风123456789~10 小时前
【Linux专栏】ls 排除某个文件
linux·运维·服务器
IT曙光11 小时前
ubuntu apt-get离线源制作
linux·ubuntu
其实防守也摸鱼11 小时前
运维--学习阶段问题解答(1)(自测)
linux·运维·服务器·数据库·学习·自动化·命令模式
懒鸟一枚11 小时前
深入理解 Linux 内存、Swap 交换分区与分页机制的关系
java·linux·数据库
玖玥拾12 小时前
C# 语言进阶(十五)C# 游戏服务端 MySQL 数据库
服务器·开发语言·网络·数据库·mysql·c#
土星云SaturnCloud12 小时前
边缘计算驱动绿氢生产过程智能寻优:电解槽级实时优化技术解析
服务器·人工智能·ai·边缘计算