12. 限制用户使用旧密码如果你不希望用户继续使用老密码,这一条很有用。老的密码文件位于 /etc/security/opasswd。你可以使用 PAM模块实现。 RHEL / CentOS / Fedora 中打开 ‘/etc/pam.d/system-auth‘ 文件。 # vi /etc/pam.d/system-auth Ubuntu/Debian/Linux Mint 中打开 ‘/etc/pam.d/common-password‘ 文件。 # vi /etc/pam.d/common-password 在 ‘auth‘ 块中添加下面一行。 auth sufficient pam_unix.so likeauth nullok 在 ‘password‘ 块添加下面一行,禁止用户重新使用其过去最后用过的 5个密码。 password sufficient pam_unix.so nullok use_authtok md5 shadow remember=5 服务器只记录最后的 5 个密码。如果你试图使用曾用的最后 5个老密码中的任意一个,你将看到如下的错误提示。 Password has been already used. Choose another. 13. 如何检查用户密码过期?在 Linux 中,用户的密码以加密的形式保存在 ‘/etc/shadow‘ 文件中。要检查用户的密码是否过期,你需要使用 ‘chage‘ 命令。它将显示密码的最后修改日期及密码期限的细节信息。这些细节就是系统决定用户是否必须修改其密码的依据。 要查看任一存在用户的老化信息,如 过期日 和 时长,使用如下命令。 #chage -l username 要修改任一用户的密码老化,使用如下命令。 #chage -M 60 username #chage -M 60 -m 7 -W 7 userName 参数
14. 手动锁定或解锁用户账号锁定和解锁功能是非常有用的,你可以锁定一个账号一周或一个月,而不是将这个账号从系统中剔除。可以用下面这个命令锁定一个特定用户。 # passwd -l accountName 提示:这个被锁定的用户仅对root用户仍然可见。这个锁定是通过将加密过的密码替换成(!)来实现的。如果有个想用这个账号来进入系统,他会得到类似下面这个错误的提示。 # su - accountName This account is currently not available. 解锁一个被锁定的账号时,用下面这个命令。这命令会将被替换成(!)的密码改回来。 # passwd -u accountName 15. 增强密码有相当数量的用户使用很弱智的密码,他们的密码都可以通过字典攻击或者暴力攻击攻破。‘pam_cracklib‘模块存于在PAM 中,它可以强制用户设置复杂的密码。通过编辑器打开下面的文件。 # vi /etc/pam.d/system-auth 在文件中增加一行,使用认证参数(lcredit, ucredit, dcredit 或者 ocredit 对应小写字母、大写字母,数字和其他字符) /lib/security/$ISA/pam_cracklib.so retry=3 minlen=8 lcredit=-1 ucredit=-2 dcredit=-2 ocredit=-1 16. 启用Iptable(防火墙)高度推荐启用linux防火墙来禁止非法程序访问。使用iptable的规则来过滤入站、出站和转发的包。我们可以针对来源和目的地址进行特定udp/tcp端口的准许和拒绝访问。 17. 禁止Ctrl+Alt+Delete重启在大多数的linux发行版中,按下‘CTRL-ALT-DELETE’将会让你的系统重启。只说生产服务器上这是不是一个很好的做法,这可能导致误操作。 这个配置是在‘ /etc/inittab‘文件,如果你打开这个文件,你可以看到下面类似的段落。默认的行已经被注释掉了。我们必须注释掉他。这个特定按键会让系统重启。 # Trap CTRL-ALT-DELETE #ca::ctrlaltdel:/sbin/shutdown -t3 -r now |