linunx加固脚本限制超级管理员远程登录_Linux安全加固

原创：kid合天智汇

上次整理了 基于等保三级的win server 2012的加固方案（Windows安全加固）

这次是基于等保三级的Linux方案

众所周知，Linux有很多版本，就目前我看到的，大部分用的是centos6.5 到7

其次是Ubuntu16.5和14等

命令及部分文件都有差异，所以方案的具体实施会不同。

因此，这里列出的没那么细致，但包含基本的方向。

方案分为身份鉴别、访问控制、安全审计、资源控制和入侵防范5个方面。

有些依然需要根据业务需求来确定是否执行。

01身份鉴别

《信息系统等级保护基本要求》

主机安全---身份鉴别

b)应对登录操作系统和数据库系统的用户进行身份标识和鉴别；

c)操作系统和数据库系统管理用户身份标识应具有不易被冒用的特点，系统的静态口令应在8位以上并由字母、数字、符号等混合组成并每三个月更换口令。

口令复杂度策略

口令长度至少8位，并包括数字、小写字母、大写字母和特殊符号4类中至少2类。

/etc/security/pam_pwcheck.conf

Minlen //密码最小长度要求；

Lcredit //小写字符数量

Ocredit //特殊字符数量

多次登录失败锁定策略

系统应配置当用户连续认证失败次数超过6次（不含6次），锁定该用户使用的账号，root用户不适用该项配置。

修改/etc/pam.d/sshd文件，添加如下两行：

auth requiredpam_tally.so no_magic_root #此行的位置需要在该文件的第一行。

account requiredpam_tally.so deny=6 no_magic_root

重启sshd服务：/etc/init.d/sshdrestart

不同版本可尝试：

设置连续登陆6次后帐号锁定：

修改/etc/pam.d/sshd文件，添加如下两行：

auth requiredpam_tally.so deny=6

account requiredpam_tally.so

重启sshd服务：/etc/in