linux有关安全的几个基本配置,禁止root登录，新建root权限账号_linux密码出错锁定

一、不安装多余的软件，能最小化安装就不要安装图形化界面，然后根据需求安装需要的软件。

二、防火墙要启用，如果您的这台服务器对外有服务只要放开服务就好了，就是说白了白名单，切忌一上来第一件事儿就是关闭防火墙，这是一种极不负责任的。
如果需要开通对外某项服务就开通对应的端口或者协议

        **需要开通80端口**：
        firewall-cmd --zone=public --add-port=80/tcp --permanent
1
2

        **需要开通对外dns服务**
        firewall-cmd --zone=public –add-service=dns --permanent
1
2

三、禁止root直接登录，只能用普通用户登录，然后根据需要，如果必须用root 则su root ；这点debian做的比较好，默认安装后就不能让root直接登录
vi /etc/ssh/sshd_config
找到PermitRootLogin yes 将yes改为no

修改后

三、增加一个root权限的用户，其实还是平时不用root账户
useradd -g root robert #增加robert的用户属于root组
passwd robert #修改robert密码
vim /etc/sudoers
找到## Allows root to run any commands anywhere下面增加一行如下图所示

退出时需要执行wq！
执行root组命令时，只要在命令前增加sudo即可
当然了让输入密码的时候 输入robert的密码，不是root的密码

如果嫌输入密码麻烦也可以操作如下：
在ALL前面加上NOPASSWD:即可，以后再执行root的命令只要加上sudo即可，不用输入密码了

四、用户登录IP地址限制，白名单
vi /etc/hosts.allow #白名单文件
输入sshd:192.168.1.254 允许192.168.1.254登录
输入sshd:192.168.1.0/24 允许192.168.1.0/24网段的用户登录

vi /etc/hosts.deny #黑名单文件
输入sshd:all（拒绝所有） #拒绝所有，配置白名单的时候用
也可以输入某个IP或者某个网段

五、不操作自动退出、密码输入错误5次锁定300秒
vi /etc/pam.d/sshd

在#%PAM-1.0下添加一行
auth required pam_tally2.so deny=5 unlock_time=180 even_deny_root root_unlock_time=180
解释：
deny=5 密码输入错误次数达到3次
unlock_time=180 普通账户锁定3分钟（单位是秒）
even_deny_root 代表包含root用户
root_unlock_time=180 root账户锁定3分钟（单位是秒）
命令：pam_tally2查看被锁定的用户
命令：pam_tally2 --reset -u username可以将被锁定的用户解锁
所有针对ssh的配置需要systemctl restart sshd 重启服务生效

systemctl restart sshd 重启服务生效