Cent OS 基线加固

1、Linux帐户口令生存期策略

`描述：口令老化（Password aging）是一种增强的系统口令生命期认证机制，能够确保用户的口令定期更换，提高系统安全性。

处理建议：

修改文件/etc/login.defs，配置

PASS_MAX_DAYS 90`

2、限制root权限用户远程登录

`描述：限制root权限远程登录。先以普通权限用户远程登录后，再切换到超级管理员权限账号后执行相应操作，可以提升系统安全性。

处理建议：

修改文件/etc/ssh/sshd_config配置

PermitRootLogin no

重启sshd服务`

3、Linux帐户超时自动登出配置

`描述：配置帐户超时自动登出，在用户输入空闲一段时间后自动断开。

处理建议：

修改/etc/profile文件，设置定时账户自动登出时间

export TMOUT=180`

4、Linux未配置账户登录失败锁定策略

`描述：设置账户登录失败锁定策略，加大用户口令被暴力破解的难度。

处理建议

设置连续输错5次口令，帐号锁定5分钟。

在进行此项安全加固工作前，请先检查PAM模块版本，搜索pam_tally2是否存在，如果pam_tally2存在，修改配置文件。【注意： 各系统配置不一，请根据当前系统进行适当配置，并仔细评估对系统的影响】

修复方案（仅供参考，请勿直接配置）：

centos

修改配置/etc/pam.d/password-auth（将配置添加到合适的位置）:

auth required pam_tally2.so deny=5 unlock_time=300 even_deny_root root_unlock_time=300

account required pam_tally2.so

ubuntu,debian：

修改配置/etc/pam.d/common-auth（将配置添加到合适的位置）:

auth required pam_tally2.so deny=5 unlock_time=300 even_deny_root root_unlock_time=300

修改配置/etc/pam.d/common-account参数（将配置添加到合适的位置）:

account required pam_tally2.so`

5、SSH监听在默认端口

`描述：SSH监听在默认的22端口容易受到暴力破解攻击，修改为非默认端口可以提高系统的安全性

处理建议：

修改/etc/ssh/sshd_config配置文件中的端口字段配置（Port字段），并重启服务`

6、Linux口令过期后账号最长有效天数策略

`描述：设置口令过期后账号仍能保持有效的最大天数。

处理建议

编辑/etc/default/useradd文件，配置：

INACTIVE=365`