1.用户的配置修改
2.用户密码的管理
密码复杂度设置
vi etc/security/pwquality.confminlen = 9minclass = 4 #必须包含四类字符maxrepeat = 2 #每个字符最多重复2次
密码时间控制
vi /etc/login.defsPASS_MAX_DAYS 99999PASS_MIN_DAYS 0PASS_MIN_LEN 5 #以pam为准PASS_WARN_AGE 7
复杂密码生成
openssl rand -base64 9pwgen -c -n -y 9 1#-c 至少包含一个大写字母# -n 至少包含一个数字# -y 至少包含一个特殊字符#也可以在网上使用在线的密码生成器
密码的检查
hydra -l aikeke -P password.1st ssh://22.22.22.22:22 -t 4#这里用来检测密码,至于其他的我不知道。-P 密码字典 -t 并发
3.用户特权
普通用户的权限越小越好,如果需要系统权限,可以加入sudo,但也要给指定的部分命令,除非完全信任该账户才给all。
aikeke ALL=(ALL) NOPASSWD:ALL
同时应该限制普通用户使用su。对于部分人员特定的需求,可以使用setfacl临时添加权限,或者加入组,不建议直接修改目录文件的权限。
/etc/pam.d/suauth required pam_wheel.so group=wheel#这样只有wheel组才能使用su#pam可以对程序进行验证,比如ssh,passwd等,内容很多,按需求添加#这里记一下pam的控制标记#required 无论成功失败继续往下验证#requisite 验证失败即终止后续验证#sufficient 成功就终止后续验证#optional 显示信息,不用来验证
4.记录历史命令时间戳
vi etc/profileHISTTIMEFORMAT="%Y%m%d %T"#这个变量所有服务器我是必加的,强烈推荐#有条件可以把日志集中到远程服务器
5.用户行为监控
#可以记录所有用户的执行操作,增加大神擦除痕迹的难度USER_IP=`who -u am i 2>/dev/null| awk '{print $NF}'|sed -e 's/[()]//g'`if [ "$USER_IP" == "" ]thenUSER_IP=`hostname`fiif [ ! -d /pys/.hist ]thenmkdir -p /pys/.histchmod 777 /pys/.histfiif [ ! -d /pys/.hist/${LOGNAME} ]thenmkdir -p /pys/.hist/${LOGNAME}chmod 300 /pys/.hist/${LOGNAME}fiDT=`date "+%Y%m%d_%H%M%S"`export HISTFILE="/pys/.hist/${LOGNAME}/${USER_IP}.hist.$DT"chmod 600 /pys/.hist/${LOGNAME}/*.hist* 2>/dev/null
部分内容来自网络,如有侵权请联系作者删除。
文章转载自爱可可的人生记录仪,如果涉嫌侵权,请发送邮件至:contact@modb.pro进行举报,并提供相关证据,一经查实,墨天轮将立刻删除相关内容。
