内容发布更新时间 : 2025/2/13 4:21:14星期一 下面是文章的全部内容请认真阅读。

1概述......................................................................................................................... - 1 -

1.1适用范围...................................................................................................... - 1 - 2用户账户安全加固................................................................................................. - 1 -

2.1修改用户密码策略 ...................................................................................... - 1 - 2.2锁定或删除系统中与服务运行，运维无关的的用户 .............................. - 1 - 2.3锁定或删除系统中不使用的组 .................................................................. - 2 - 2.4限制密码的最小长度 .................................................................................. - 2 - 3用户登录安全设置................................................................................................. - 3 -

3.1禁止root用户远程登录 ............................................................................. - 3 - 3.2设置远程ssh登录超时时间 ...................................................................... - 3 - 3.3设置当用户连续登录失败三次，锁定用户30分钟................................ - 4 - 3.4设置用户不能使用最近五次使用过的密码 .............................................. - 5 - 3.5设置登陆系统账户超时自动退出登陆 ...................................................... - 5 - 4系统安全加固......................................................................................................... - 5 -

4.1关闭系统中与系统正常运行、业务无关的服务 ...................................... - 5 - 4.2禁用“CTRL+ALT+DEL”重启系统 ........................................................ - 6 - 4.3加密grub菜单 ............................................................................................ - 6 -

- 1 -

1概述

1.1适用范围

本方案适用于银视通信息科技有限公司linux主机安全加固，供运维人员参考对linux主机进行安全加固。

2用户账户安全加固

2.1修改用户密码策略

（1）修改前备份配置文件：/etc/login.defs

cp /etc/login.defs /etc/login.defs.bak （2）修改编辑配置文件：vi /etc/login.defs，修改如下配置：

PASS_MAX_DAYS 90 （用户的密码不过期最多的天数） PASS_MIN_DAYS 0 （密码修改之间最小的天数） PASS_MIN_LEN 8 （密码最小长度） PASS_WARN_AGE 7 (口令失效前多少天开始通知用户更改密码) （3）回退操作

~]# cp /etc/login.defs.bak /etc/login.defs 2.2锁定或删除系统中与服务运行，运维无关的的用户

（1）查看系统中的用户并确定无用的用户

~]# more /etc/passwd （2）锁定不使用的账户（锁定或删除用户根据自己的需求操作一项即可）

锁定不使用的账户：

~]# usermod -L username 或删除不使用的账户：

- 1 -

~]# userdel -f username （3）回退操作

用户锁定后当使用时可解除锁定，解除锁定命令为：

~]# usermod -U username 2.3锁定或删除系统中不使用的组

（1）操作前备份组配置文件/etc/group

~]# cp /etc/group /etc/group.bak （2）查看系统中的组并确定不使用的组

~]# cat /etc/group （3）删除或锁定不使用的组

锁定不使用的组：

修改组配置文件/etc/group，在不使用的组前加“#”注释掉该组即可 删除不使用的组：

~]# groupdel groupname

（4）回退操作

~]# cp /etc/group.bak /etc/group 2.4限制密码的最小长度

（1）操作前备份组配置文件/etc/pam.d/system-auth

~]# cp /etc/pam.d /etc/pam.d.bak （2）设置密码的最小长度为8

修改配置文件/etc/pam.d,在行”password requisite pam_pwquality.so try_first_pass local_users_only retry=3 authtok_type=”中添加“minlen=8”，或使用sed修改：

- 2 -