以下是服务器安全加固的步骤。本文以腾讯云为基础CentOS7.7例如,如果您使用密钥登录服务器1-5跳过步骤。
1、设置复杂密码
服务器由大写、小写、特殊字符和数字组成12-16位置复杂密码 ,也可以使用密码生成器自动生成复杂密码,这里给您一个链接参考:https://suijimimashengcheng.51240.com/
echo"root:wgr1TDs2Mnx0XuAv"|chpasswd2、设置密码策略
修改文件/etc/login.defs
PASS_MAX_DAYS90密码有效期最长PASS_MIN_DAYS10密码修改之间最小天数PASS_MIN_LEN8密码长度PASS_WARN_AGE7密码修改前几天开始通知用户3、设置密码强度
编辑文件/etc/pam.d/password-auth
passwordrequisitepam_pwquality.sotry_first_passlocal_users_onlyretry=3authtok_type=difok=1minlen=8ucredit=-1lcredit=-1dcredit=-1difok= 在定义新密码时,必须有几个字符和旧密码
minlen=最小长度的新密码
ucredit= 新密码中更大的大写字母数量。-1 至少一个
lcredit=更大的小写字母可以包含在新密码中
dcredit=定新密码中可以包含的数字的更大数目
注:密码强度的设置仅为"普通用户"限 *** 用,root用户无论修改自己的密码还是修改普通用户的时候,不符合强度设置依然可以设置成功
4、限制用户的登录次数
编辑文件 /etc/pam.d/sshd
authrequiredpam_tally2.sodeny=3unlock_time=150even_deny_rootroot_unlock_time300多次输入密码失败后,提示如下
pam_tally2 检查锁定用户
pam_tally2 --reset -u username 解锁锁锁锁用户
5、进制root远程登录用户
禁止ROOT用户远程登录 。打开 //etc/ssh/sshd_config
#PermitRootLoginno6、更改ssh端口
vim /etc/ssh/sshd_config ,更改Port或追加Port
注:重启生效sshd进程。
7、安全组关闭不必要的端口
腾讯云平台具有安全组功能,您只需放行业务协议和端口,不建议放行所有协议的所有端口,参考文件:https://cloud.tencent.com/document/product/215/20398
8、设置账户保存历史命令条数,超时
打开/etc/profile,修改如下
HISTSIZE=1000TMOUT=600服务器超时自动断开与客户端的链接的链接。
9、定期检查系统日志
/var/log/messages
/var/log/secure
可将日志定向传输到指定服务器进行分析。
10、定期备份数据
有计划的目录和定期包装备份数据到指定的服务器。
应用程序 /data1/app/
程序日志 //data1/logs/
重要数据 //data1/data/
参考
Linux服务器加固:
https://blog.csdn.net/qq_36119192/article/details/82906799
更改SSH端口:
https://blog.csdn.net/qq_41933709/article/details/90062931