Linux 安全配置杂文

最新推荐文章于 2025-08-09 18:35:14 发布
转载 最新推荐文章于 2025-08-09 18:35:14 发布 · 89 阅读 · 0 ·
CC 4.0 BY-SA版权
原文链接:https://yq.aliyun.com/articles/44387
文章标签:

#运维 #操作系统 #开发工具

本文详细介绍SSH服务的安全配置方法,包括修改sshd_config设置、使用pam_tally2.so限制登录失败次数、通过pam_listfile.so实现用户黑白名单管理等。适用于系统管理员提升服务器安全性。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

SSH 配置

vim /etc/ssh/sshd_config <<VIM > /dev/null 2>&1

:s/#LoginGraceTime 2m/LoginGraceTime 2m/

:s/#PermitRootLogin yes/PermitRootLogin no/

:s/#MaxAuthTries 6/MaxAuthTries 3/

:%s$#AuthorizedKeysFile$AuthorizedKeysFile /dev/null$

:%s/GSSAPIAuthentication yes/GSSAPIAuthentication no/

:%s/GSSAPICleanupCredentials yes/GSSAPICleanupCredentials no/

:wq

 

VIM


禁止证书登陆 AuthorizedKeysFile /dev/null

http://netkiller.github.com/

锁定用户禁止登陆

 

passwd -l bin

passwd -l daemon

passwd -l adm

passwd -l lp

passwd -l sync

passwd -l shutdown

passwd -l halt

passwd -l mail

passwd -l uucp

passwd -l operator

passwd -l games

passwd -l gopher

passwd -l ftp

passwd -l nobody

passwd -l vcsa

passwd -l saslauth

 

passwd -l postfix

 

检查可以登陆的用户与有密码的用户

 

Java代码   收藏代码
  1. #!/bin/bash  
  2.   
  3. function section(){  
  4.     local title=$1  
  5.     echo "=================================================="  
  6.     echo " $title "  
  7.     echo "=================================================="  
  8. }  
  9.   
  10. section "Check login user"  
  11. grep -v nologin /etc/passwd  
  12.   
  13. section "Check login password"  
  14. grep '\$' /etc/shadow  
  15.   
  16. section "Check SSH authorized_keys file"  
  17. for key in $(ls -1 /home)   
  18. do   
  19.     if [ -e $key/.ssh/authorized_keys ]; then   
  20.         echo "$key : $key/.ssh/authorized_keys"  
  21.     else  
  22.         echo "$key : "  
  23.     fi  
  24. done  

 http://netkiller.github.com/

 

55.2.1. pam_tally2.so

此模块的功能是,登陆错误输入密码3次,5分钟后自动解禁,在未解禁期间输入正确密码也无法登陆。

在配置文件 /etc/pam.d/sshd 顶端加入

auth required pam_tally2.so deny=3 onerr=fail unlock_time=300

查看失败次数

# pam_tally2
Login           Failures Latest failure     From
root               14    07/12/13 15:44:37  192.168.6.2
neo                 8    07/12/13 15:45:36  192.168.6.2

重置计数器

# pam_tally2 -r -u root
Login           Failures Latest failure     From
root               14    07/12/13 15:44:37  192.168.6.2

# pam_tally2 -r -u neo
Login           Failures Latest failure     From
neo                 8    07/12/13 15:45:36  192.168.6.2

pam_tally2 计数器日志保存在 /var/log/tallylog 注意,这是二进制格式的文件

例 55.1. /etc/pam.d/sshd

# cat  /etc/pam.d/sshd
#%PAM-1.0
auth required pam_tally2.so deny=3 onerr=fail unlock_time=300

auth	   required	pam_sepermit.so
auth       include      password-auth
account    required     pam_nologin.so
account    include      password-auth
password   include      password-auth
# pam_selinux.so close should be the first session rule
session    required     pam_selinux.so close
session    required     pam_loginuid.so
# pam_selinux.so open should only be followed by sessions to be executed in the user context
session    required     pam_selinux.so open env_params
session    optional     pam_keyinit.so force revoke
session    include      password-auth

http://netkiller.github.com/

 

以上配置root用户不受限制, 如果需要限制root用户,参考下面

 

auth required pam_tally2.so deny=3 unlock_time=5 even_deny_root root_unlock_time=1800

 

55.2.2. pam_listfile.so

用户登陆限制

将下面一行添加到 /etc/pam.d/sshd 中,这里采用白名单方式,你也可以采用黑名单方式

auth       required     pam_listfile.so item=user sense=allow file=/etc/ssh/whitelist onerr=fail

将允许登陆的用户添加到 /etc/ssh/whitelist,除此之外的用户将不能通过ssh登陆到你的系统

# cat /etc/ssh/whitelist
neo
www

例 55.2. /etc/pam.d/sshd - pam_listfile.so

# cat /etc/pam.d/sshd
#%PAM-1.0
auth       required     pam_listfile.so item=user sense=allow file=/etc/ssh/whitelist onerr=fail
auth       required     pam_tally2.so deny=3 onerr=fail unlock_time=300

auth	   required	pam_sepermit.so
auth       include      password-auth
account    required     pam_nologin.so
account    include      password-auth
password   include      password-auth
# pam_selinux.so close should be the first session rule
session    required     pam_selinux.so close
session    required     pam_loginuid.so
# pam_selinux.so open should only be followed by sessions to be executed in the user context
session    required     pam_selinux.so open env_params
session    optional     pam_keyinit.so force revoke
session    include      password-auth

 

sense=allow 白名单方式, sense=deny 黑名单方式

auth       required     pam_listfile.so item=user sense=deny file=/etc/ssh/blacklist onerr=fail

 

 

延伸阅读:http://netkiller.github.com/

Ubuntu 服务器初始化、系统安全加固、系统内核参数优化以及常用软件安装脚本分享...
WeiyiGeek 唯一极客IT知识分享
11-01 1510
描述: 该加固脚本符合等级保护要求,后续将会持续扩充。Github 下载地址:https://github.com/WeiyiGeek/SecOpsDev/blob/master/OS-%E6%93%8D%E4%BD%9C%E7%B3%BB%E7%BB%9F/Linux/Ubuntu/Ubuntu-InitializeSecurity.shUbuntu 服务器初始化、系统...
测试杂文 - linux串口打印
weixin_46325250的博客
11-19 807
Linux系统中,你可以使用多种工具和方法来打印串口接收到的信息。
2024年Linux最新Linux主机安全加固_安全整改加固(2)
code8889的博客
04-30 1304
#后续优化对于已经存在配置的判断,一下方法暂用,不会影响整改结果##echo ‘请根据用户实际业务端口占用等情况进行设置!####检查IPTABLES状态######锁定不必要的用户###
3.5 用户密码管理
weixin_34128534的博客
10-31 119
2019独角兽企业重金招聘Python工程师标准>>> ...
command >/dev/null 2>&1
chunconghui7899的博客
03-05 201
0:表示键盘输入(stdin)1:表示标准输出(stdout),系统默认是1 2:表示错误输出(stderr) command >/dev/null 2>&1 & == command 1>/dev/null 2>&1 & ...
linux下dev中无null文件,Linux——/dev/null详解
weixin_33269198的博客
05-08 2805
一、 /dev/null/dev/null属于字符特殊文件,它属于空设备,是一个特殊的设备文件,它会丢弃一切写入其中的数据,写入它的内容都会永远丢失,而且没有任何可以读取的内容;就像是黑洞一样。我们用file命令查看下,说明类型是字符特殊文件。[root@localhost ~]# file /dev/null/dev/null: character special所以我们一般会把/dev/nu...
韩顺平Linux基础篇
z972065491的博客
08-09 1265
Linux是什么 Linux是一个操作系统
学习linux下的相关杂文
06-27
9. **权限与安全**:Linux的安全机制包括用户和组的概念、访问控制列表(ACLs)、SELinux等。理解这些机制能帮助你更好地保护系统资源。 10. **网络编程**:Linux提供了丰富的网络编程接口,如socket API,用于实现...
杂文 never say goodbye to learn
04-21
在IT领域,学习永无止境,"杂文 never say goodbye to learn"的主题鼓励我们持续探索和提升自己的技能。在这个快速发展的行业中,不断学习是保持竞争力的关键。让我们逐一解析压缩包中的三个文件,看看它们能为我们...
鲁迅杂文研究论文.doc
09-21
鲁迅杂文研究论文.doc
鲁迅杂文的艺术特色.docx
12-04
鲁迅杂文的艺术特色 中国现代文学宝库中,鲁迅杂文犹如一颗耀眼的明珠,其独特艺术风格和深刻思想内涵,不仅在中国文学史上占据重要地位,更是对后世产生了深远的影响。鲁迅杂文的特色丰富多样,既表现在它的批判性...
linux命令passwd各个参数含义
CC的博客
07-31 7767
[root@mylinux ~]#passwd [选项] 用户名 选项 含义 -S 查询用户密码的状态,也就是 /etc/shadow 文件中此用户密码的内容。仅 root 用户可用 -l 暂时锁定用户,该选项会在 /etc/shadow 文件中指定用户的加密密码串前添加 “!”,使密码失效。仅 root 用户可用 -u 解锁用户,和 -l 选项相对应,仅 root 用户可...
linux命令_系统管理_passwd
三生万物
09-14 928
宽为限 紧用功 功夫到 滞塞通功 能说明:passwd命令用于设置用户的认证信息,包括用户密码、密码过期时间等。系统管理者则能用它管理系统用户的密码。只有管理者可以指定用户名称,一般用户只能变更自己的密码。
JumpServer 堡垒机全流程搭建指南及常见问题解决方案
2401_83649605的博客
08-05 1550
文章详细介绍了JumpServer的技术架构和部署流程,包括基础环境配置、数据库安装等步骤。JumpServer采用分布式架构,支持多机房部署,无资产数量和并发限制,是企业IT安全运维的理想选择。
海康威视摄像头实时推流到阿里云公网服务器(Windows + FFmpeg + nginx-rtmp)
最新发布
willem的博客
08-09 474
摘要: 本文详细介绍将海康威视摄像头视频流通过Windows电脑推送到阿里云服务器的完整方案。步骤包括:1)在阿里云ECS部署nginx-rtmp服务并开放端口;2)Windows端安装FFmpeg,通过RTSP拉取摄像头流并转推RTMP协议;3)使用VLC或网页进行公网播放验证;4)通过nssm工具将推流程序注册为Windows服务实现长期运行。方案支持低延迟传输,提供常见问题排查方法和一键脚本,适用于7×24小时监控场景,最终实现公网多终端访问摄像头视频流。
搭建私有 Linux 镜像仓库
qq_31292011的博客
08-06 456
统一管理软件包版本,确保环境一致性。:减少外网带宽消耗,提升下载速度。:减少重复下载,节省带宽成本。:内网环境下的安全软件分发。:支持无外网环境的软件安装。
Linux系统Ansible之Playbook简单应用
2503_91960880的博客
08-06 890
playbook是ansible用于配置,部署和管理托管主机剧本,通过playbook的详细描述,执行其中一系列tasks,可以让远程主机达到预期状态,也可以说,playbook字面意思是剧本,现实中由演员按剧本表演,在ansible中由计算机进行安装,部署应用,提供对外服务,以及组织计算机处理各种各样的事情。ansible使用playbook来管理自动化task,playbook是yaml格式的文件,其基本内容可以认为是多条ansible的ad-hoc的语句组成。
RAGFlow系列(06):升级到0.20.0版本的详细操作步骤
持之以恒
08-07 397
RAGFlow升级到0.20.0版本的具体操作步骤
RAID技术与LVM逻辑卷
m0_68754495的博客
08-08 529
本文介绍了RAID存储方案和LVM逻辑卷管理技术。在RAID部分,详细说明了RAID0、1、10、01和5等不同级别的特点及应用场景,包括各自的性能、安全性和成本考量。LVM部分阐述了物理卷(PV)、卷组(VG)和逻辑卷(LV)的概念及相互关系,提供了完整的LVM操作流程,包括创建、扩容、缩减、快照等实用命令和注意事项。重点强调了XFS文件系统在扩容时的特殊处理方式,以及LVM快照作为备份方案的使用方法。文章还指出了RAID1与备份的区别,以及boot分区不能使用LVM等关键技术限制。
深入学习:C++、Shell编程与杂文思考
3. shell快捷键.txt:这个文件很可能是介绍Unix/Linux shell命令行界面中常用的快捷键和命令,提升工作效率。shell快捷键是IT专业人员日常工作中经常使用的工具,能够通过快捷键提高命令输入的速度和准确性。文档...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值