Linux中如何設置系統安全

183次閱讀

共計 2410 個字符，預計需要花費 7 分鐘才能閱讀完成。

丸趣 TV 小編給大家分享一下 Linux 中如何設置系統安全，相信大部分人都還不怎么了解，因此分享這篇文章給大家參考一下，希望大家閱讀完這篇文章后大有收獲，下面讓我們一起去了解一下吧！

設置 sshd，禁用 root

例子：

vim /etc/ssh/sshd_config
PermitRootLogin yes =  PermitRootLogin nosystemctl restart sshd.service
netstat -tulnp|grep sshd
vim /etc/ssh/sshd_configPort 22 =  Port 20000
systemctl restart sshd.service
netstat -tulnp|grep sshd
Protocol 2
MaxAuthTries 3
MaxSessions 2

系統賬號安全

CentOS 中有一個 pam_tally2.so 的 PAM 模塊，來限定用戶的登錄失敗次數，如果次數達到設置的閾值，則鎖定用戶 vim /etc/pam.d/login
#%PAM-1.0 auth required pam_tally2.so deny=3 lock_time=300 even_deny_root root_unlock_time=10 auth [user_unknown=ignore success=ok ignoreignore=ignore default=bad] pam_securetty.so auth include system-auth 
 
account required pam_nologin.so account include system-auth 
password include system-auth 
# pam_selinux.so close should be the first session rule 
session required pam_selinux.so close session optional pam_keyinit.so force revoke 
session required pam_loginuid.so session include system-auth 
session optional pam_console.so # pam_selinux.so open should only be followed by sessions to be executed in the user context 
session required pam_selinux.so openeven_deny_root  也限制 root 用戶； deny  設置普通用戶和 root 用戶連續錯誤登陸的最大次數，超過最大次數，則鎖定該用戶  unlock_time  設定普通用戶鎖定后，多少時間后解鎖，單位是秒； root_unlock_time  設定 root 用戶鎖定后，多少時間后解鎖，單位是秒；  此處使用的是  pam_tally2  模塊，如果不支持  pam_tally2  可以使用  pam_tally  模塊。另外，不同的 pam 版本，設置可能有所不同，具體使用方法，可以參照相關模塊的使用規則。注意：在 #%PAM-1.0 的下面，即第二行，添加內容，一定要寫在前面，如果寫在后面，雖然用戶被鎖定，但是只要用戶輸入正確的密碼，還是可以登錄的！遠程用戶登錄設置 vim /etc/pam.d/sshd
#%PAM-1.0 auth required pam_tally2.so deny=3 unlock_time=300 even_deny_root root_unlock_time=10 
 auth include system-auth 
account required pam_nologin.so account include system-auth 
password include system-auth 
session optional pam_keyinit.so force revoke 
session include system-auth 
session required pam_loginuid.so 查看用戶登錄失敗次數 pam_tally2 --user mw 解鎖指定用戶 pam_tally2 -r -u mw

內網安全

1.  中間機器所有流量通過   上面這臺轉發開啟轉發 /etc/sysctl.conf
net.ipv4.ip_forward = 0  修改為  net.ipv4.ip_forward = 1
sysctl -p
iptables -t nat -A PREROUTING -p tcp --dport [要轉發的端口號] -j DNAT --to-destination [要轉發的服務器 IP]
iptables -t nat -A PREROUTING -p udp --dport [要轉發的端口號] -j DNAT --to-destination [要轉發的服務器 IP]
iptables -t nat -A POSTROUTING -p tcp -d [要轉發的服務器 IP] --dport [要轉發的端口號] -j SNAT --to-source [本機 IP]
iptables -t nat -A POSTROUTING -p udp -d [要轉發的服務器 IP] --dport [要轉發的端口號] -j SNAT --to-source [本機 IP]service iptables save

以上是“Linux 中如何設置系統安全”這篇文章的所有內容，感謝各位的閱讀！相信大家都有了一定的了解，希望分享的內容對大家有所幫助，如果還想學習更多知識，歡迎關注丸趣 TV 行業資訊頻道！

正文完