账号策略

帐户密码输错3次锁定一分钟

cd /etc/pam.d
vi system-auth
//添加一下内容
auth        required      pam_tally2.so deny=3 unlock_time=60 /*限制root为 even_deny_root root_unlock_time=60 */
最小密码长度不少于8个字符

修改/etc/login.defs文件PASS_MIN_LEN细分参数 8


密码策略必须同时满足大小写字母、数字、特殊字符

vim /etc/pam.d/system-auth

在内容里加入

auth        required      pam_cracklib.so ucredit=-1 dcredit=-1 lcredit=-1 ocredit=-1


在用户登录系统时,应该有“For authorized users only”提示信息

/etc/issue 输入 “Hello”

远程用户非活动会话连接超时应小于等于5分钟

vim /etc/ssh/sshd_config

/+Client

以普通帐户MySql安全运行MySql,禁止MySql以管理员帐号权限运行

vim /etc/my.cnf 在配置中进行设置 [mysqld] 修改user=mysql

删除默认数据库(test);

drop database test;

改变默认MySql管理员用户为:SuperRoot;

update user set user=“SuperRoot” where user=“root”;flush privileges;

使用MySql内置MD5加密函数加密用户user1的密码为(P@ssw0rd1!);

update mysql.user set password=md5(“P@ssw0rd1!”) where user = ‘user1’;

赋予user1用户对数据库所有表只有select,insert,delete,update权限;

grant select,insert,delete,update on . to ‘user1’@’localhost’;

对忘记mysql数据库SuperRoot管理员密码进行重置操作;

在/etc/my.cnf 文件my[mysqd]下面添加 skip_grant_tables Service mysqld restart 空密码登入进行修改密码

Update user set password=password(“P@ssw0rd1!”)where user=’SuperRoot’ and host=’localhost’;

在删除刚刚my.cnf 中添加的skip_grant_tables 重启使用新密码即可。

禁用LOCAL INFILE命令防止非授权用户访问本地文件;

Vim /etc/my.cnf 文件 在[mysqld]下添加 local-infile=0

为防止数据库操作信息泄露,请禁止使用MySql命令行历史记录;

find / -name “.mysql_history” 查看是否存在mysql的历史命令记录,如果有 就把他删除

rm -f /root/.mysql_history #删除历史记录文件 ln -s /dev/null

$HOME/.mysql_history #mysql_histfile变量设置为/dev/null

服务加固ssh\vsFTPd (Data)

1.修改ssh服务端口为2222; 修改配置文件 vim /etc/ssh/sshd_config

Linux加固经典一撇_配置文件

ssh禁止ROOT用户远程登录;

修改配置文件 vim /etc/ssh/sshd_config

Linux加固经典一撇_mysql_02

把 PermitRootLogin yes 改为 PermitRootLogin no

vsFTPd禁止匿名用户上传;

vsftpd服务的配置文件/etc/vsftpd/vsftpd.conf

anonymous_upload_enable=NO重启服务 service vsftpd restart

激活vsFTPd上传下载日志;

xferlog_enable=YES 表明FTP服务器记录上传下载的情况 xferlog_file = /var/log/xferlog xferlog_std_format = YES

vsFTPd将使客户端连接时的端口范围在50000和60000之间;

pasv_enable=YES pasv_min_port=50000 pasv_max_port=60000

vsFTPd使本地用户登录活动范围限制在home目录。

allow_writeable_chroot=YES chroot_local_user=YES chroot_list_enable=YES chroot_list_file=/etc/vsftpd/chroot_list 创建: Touch /etc/vsftpd/chroot_list

Linux系统禁用23端口;

Iptables -A INPUT -p tcp --dport 23 -j DROP

Linux系统禁止别人ping通;

iptables -A INPUT -p icmp -j DROP

Linux系统为确保安全禁止所有人连接ssh除了192.168.1.1这个ip。

Iptables -A INPUT -p tcp --dport ssh -s 192.16.1.1 -j ACCEPT Iptables -A INPUT -p tcp --dport ssh -j DROP

禁止被ping

vi /etc/sysctl.conf 选择添加以下

net.ipv4.icmp_echo_ignore_broadcasts = 1	#忽略ICMP广播
net.ipv4.icmp_echo_ignore_all = 1	#忽略ICMP echo请求
net.ipv4.ip_default_ttl = 128	#修改TTL为128

使用sysctl -p 命令生效