服务器安全审计
设置服务器密码有效期
[root@localhost ~]# vi /etc/login.defs
PASS_MAX_DAYS 90
PASS_MIN_DAYS 7
PASS_MIN_LEN 8
PASS_WARN_AGE 7
PASS_MAX_DAYS 90 密码设置最长有效期 90 天
PASS_MIN_DAYS 7 密码设置最短有效期 7 天
PASS_MIN_LEN 8 设置密码最小长度 8 位
PASS_WARN_AGE 7 提前 7 天警告用户密码即将过期
设置服务器密码口令组成
[root@localhost ~]# vi /etc/pam.d/system-auth
password requisite pam_pwquality.so try_first_pass local_users_only retry=3 authtok_type= minlen=10 lcredit=-1 ucredit=-1 dcredit=-1 ocredit=-1 enforce_for_root
minlen=10 密码最小长度为10个字符
lcredit=-1 密码应包含的小写字母的至少一个
ucredit=-1 密码应包含的大写字母至少一个
dcredit=-1 将密码包含的数字至少为一个
ocredit=-1 设置其他符号的最小数量,例如 @,#、! $% 等,至少要有一个
enforce_for_root 确保即使是 root 用户设置密码,也应强制执行复杂性策略
设置服务器账号锁定
[root@localhost ~]# vi /etc/pam.d/system-auth
auth required pam_tally2.so onerr=fail deny=3 unlock_time=40 even_deny_root root_unlock_time=30
以上策略表示:普通账户和 root 的账户登陆连续 3 次失败,就统一锁定 40 秒,40 秒后能够解锁
设置服务器 SSH 登录失败锁定
[root@localhost ~]# vi /etc/pam.d/sshd
auth required pam_tally2.so deny=3 unlock_time=20 even_deny_root root_unlock_time=30
设置服务器登录失败锁定
[root@localhost ~]# vi /etc/pam.d/login
auth required pam_tally2.so deny=3 unlock_time=20 even_deny_root root_unlock_time=30
查看用户状态并解锁用户
[root@localhost ~]# pam_tally2 -u root
手动解除锁定的账号
[root@localhost ~]# pam_tally2 -u root --reset
