今天，技術(shù)之家將向您介紹Linux帳戶的一些常規(guī)安全設(shè)置。 這些是基本參數(shù)和操作。 它們非常實用，適合初學(xué)者。 我今天主要討論的安全設(shè)置之一是“限制root用戶的遠程登錄”。 ，用于鎖定未配置的Linux帳戶連接失敗的策略，該時間到期后，Linux帳戶會自動斷開配置。

限制root權(quán)限用戶遠程登錄

限制root權(quán)限遠程登錄?？梢宰層脩粝纫云胀?quán)限用戶遠程登錄后，再切換到超級管理員權(quán)限賬號后執(zhí)行相應(yīng)操作，可以提升系統(tǒng)安全性。

1. 修改文件

/etc/ssh/sshd_config配置：

PermitRootLogin no

2. 重啟sshd服務(wù)

service sshd restart

Linux未配置賬戶登錄失敗鎖定策略

設(shè)置賬戶登錄失敗鎖定策略，加大用戶口令被暴力破解的難度。這樣能有效避免暴力破解!

比如技術(shù)宅設(shè)置連續(xù)輸錯5次口令，賬號鎖定5分鐘。

在進行此項安全加固工作前，請先檢查PAM模塊版本，搜索pam_tally2是否存在，如果pam_tally2存在，修改配置文件?！咀⒁猓? 各系統(tǒng)配置不一，請根據(jù)當(dāng)前系統(tǒng)進行適當(dāng)配置，并仔細評估對系統(tǒng)的影響】修復(fù)方案(僅供參考，請勿直接配置)：

centos

修改配置/etc/pam.d/password-auth(將配置添加到合適的位置):

auth required pam_tally2.so deny=5 unlock_time=300 even_deny_root root_unlock_time=300account required pam_tally2.so

ubuntu,debian

修改/etc/pam.d/common-auth，將以下參數(shù)放到合適位置

auth required pam_tally2.so deny=5 unlock_time=300 even_deny_root root_unlock_time=300

修改/etc/pam.d/common-accoun參數(shù)(將配置添加到合適的位置):

account required pam_tally2.so

Linux帳戶超時自動登出配置

配置帳戶超時自動登出，在用戶輸入空閑一段時間后自動斷開。可以有效避免因為特殊情況賬戶一直登錄避免別人誤操作!修改

修改/etc/profile文件，設(shè)置定時賬戶自動登出時間

export TMOUT=180

Linux帳戶口令生存期策略

口令老化(Password aging)是一種增強的系統(tǒng)口令生命期認證機制，能夠確保用戶的口令定期更換，提高系統(tǒng)安全性。修改文件/etc/login.defs，配置

PASS_MAX_DAYS 90