Linux 用户安全策略

记录下在管理Linux服务器的时候，一些用户安全策略

1. sshd 强制使用V2安全协议

修改/etc/ssh/sshd_config

# The default requires explicit activation of protocol 1
# Protocol 2   # 去掉注释

2. 自定义密码错误尝试次数

修改/etc/ssh/sshd_config

MaxAuthTries 6  # 可以尝试6次

3. 禁止空密码用户登录

修改/etc/ssh/sshd_config

# To disable tunneled clear text passwords, change to no here!
PermitEmptyPasswords no  # 不允许空密码登录

4. 禁止用户修改环境变量

修改/etc/ssh/sshd_config

PermitUserEnvironment no  # 默认为注释，去掉注释

5. 设置输入密码间隔时间

修改/etc/ssh/sshd_config

LoginGraceTime 2m  # 间隔时间2分钟

6. 设置用户密码的最小长度

修改 /etc/security/pwquality.conf

minlen = 10  # 密码最小长度为10

7. 设置用户密码数字位数

修改 /etc/security/pwquality.conf

dcredit = -1  # 设置为-1 最少包含一个数字

8. 设置用户密码大写字母位数

修改 /etc/security/pwquality.conf

ucredit = -2  # 设置为-2 最少包含两位大写字母

9. 设置用户密码小写字母位数

修改 /etc/security/pwquality.conf

lcredit = -1  # 设置为-1 最少包含一位小写字母

10. 设置用户密码特殊字符位数

修改 /etc/security/pwquality.conf

ocredit = -1  # 设置为-1 最少包含一位特殊字符

11. 设置用户密码失效时间

修改 /etc/login.defs

PASS_MAX_DAYS 365      #密码最大有效期，此处参数PASS_MAX_DAYS为365，表示365天后，密码会过期。99999表示永不过期。

12. 设置用户密码最小间隔时间

修改 /etc/login.defs

PASS_MIN_DAYS 0      #两次修改密码的最小间隔时间，0表示可以随时修改账号密码

13. 设置用户密码账户不活动的最大时间

执行命令

useradd -D -f 1095