Linux服务器以其安全、高效和稳定的显著优势而得以广泛应用，但如果不做好权限的合理分配，Linux系统的安全性还是会得不到更好的保障，下面我们将主要从账号和口令、文件系统、安全审计、系统安全防线和服务控制等几大块来优化提升Linux系统的安全性。

一、账号和口令

• 修改口令生存期

口令生存期，即用户密码的过期时间，默认在cat /etc/login.defs | grep "PASS" 中存储着，我们需要把这个时间改小，如下配置即可。

[root@localhost ~]# vim /etc/login.defs

# Password aging controls:
#
#       PASS_MAX_DAYS   Maximum number of days a password may be used.
#       PASS_MIN_DAYS   Minimum number of days allowed between password changes.
#       PASS_MIN_LEN    Minimum acceptable password length.
#       PASS_WARN_AGE   Number of days warning given before a password expires.
#
PASS_MAX_DAYS   90      # 新建用户密码最长使用天数
PASS_MIN_DAYS   0       # 新建用户密码最短使用天数
PASS_MIN_LEN    7       # 新建用户密码到期提示天数
PASS_WARN_AGE   10      # 最小密码长度

• 设置口令复杂度

设置新建用户时输入的口令复杂程度，该配置默认在cat /etc/pam.d/system-auth 文件中存放。

[root@localhost ~]# vim /etc/pam.d/system-auth

#%PAM-1.0
# This file is auto-generated.
# User changes will be destroyed the next time authconfig is run.

password    required pam_cracklib.so try_first_pass retry=3 dcredit=-1 lcredit=-1 ucredit=-1 ocredit=-1 minlen=10

• 限制登录超时

限制用户登陆成功后的等待时间，当用户终端无操作时则默认断开连接。

[root@localhost ~]# vim /etc/profile
TMOUT=300   #设置为TMOUT=300，即超时时间为五分钟。
export TMOUT

source /etc/profile 加载配置生效

• 限制TTY尝试次数

该配置可以有效的防止，爆破登录情况的发生，其配置文件在cat /etc/pam.d/login中添加如下配置，这个方法只是限制用户从TTY终端登录，而没有限制远程登录。

[root@localhost ~]# vim /etc/pam.d/login
#%PAM-1.0
auth required pam_tally2.so deny=3 lock_time=300 even_deny_root root_unlock_time=10
[root@localhost ~]# pam_tally2 --user lyshark 查询远程登录次数

• 设置root用户ssh登录策略

禁止root用户远程ssh登录
通过修改 /etc/ssh/sshd_config，将参数修改#PermitRootLogin no
重启ssh服务

二、文件系统

• 设置umask值

设置默认的umask值，增强安全性。

使用命令 vi /etc/profile 修改配置文件，添加行 umask 027， 即新创建的文件属主拥有读写执行权限，同组用户拥有读和执行权限，其他用户无权限。

027的意思是，用文件夹最大权限777(rwxrwxrwx) - 当前设置权限750(-rwxr-x---) = 027

• 锁定系统文件

锁定文件是Linux系统中最为强大的安全特性，任何用户(即使是root)，都无法对不可修改文件进行写入、删除、等操作，我们将一些二进制文件设置为只读模式，能够更好的防止系统被非法篡改或注入恶意代码，一般情况下/sbin 和/usr/lib两个目录内容能被设置为不可改变。

[root@localhost sbin]# chattr +i /sbin/
[root@localhost sbin]# chattr +i /usr/sbin/
[root@localhost sbin]# chattr +i /bin/
[root@localhost sbin]# chattr +i /sbin/
[root@localhost sbin]# chattr +i /usr/lib
[root@localhost sbin]# chattr +i /usr/lib64
[root@localhost sbin]# chattr +i /usr/libexec

三、安全审计

• 启用日志功能，并配置日志记录

Linux系统默认启用以下类型日志：

系统日志（默认）/var/log/messages

cron日志（默认）/var/log/cron

安全日志（默认）/var/log/secure

• 记录所有用户的登录和操作日志

运行vim /etc/profile打开配置文件。

history
USER=`whoami`
USER_IP=`who -u am i 2>/dev/null| awk '{print $NF}'|sed -e 's/[()]//g'`
if [ "$USER_IP" = "" ]; then
USER_IP=`hostname`
fi
if [ ! -d /var/log/history ]; then
mkdir /var/log/history
chmod 777 /var/log/history
fi
if [ ! -d /var/log/history/${LOGNAME} ]; then
mkdir /var/log/history/${LOGNAME}
chmod 300 /var/log/history/${LOGNAME}
fi
export HISTSIZE=4096
DT=`date +"%Y%m%d_%H:%M:%S"`
export HISTFILE="/var/log/history/${LOGNAME}/${USER}@${USER_IP}_$DT"
chmod 600 /var/log/history/${LOGNAME}/*history* 2>/dev/null

source /etc/profile 加载配置生效

四、系统安全防线

• 最小化防火墙规则

配置防火墙，拒绝所有端口，只放行SSH，HTTP这两个必要的端口。

[root@localhost ~]# iptables -F
[root@localhost ~]# iptables -p INPUT DROP

[root@localhost ~]# iptables -I INPUT -p tcp --dport 65534 -j ACCEPT
[root@localhost ~]# iptables -I OUTPUT -p tcp --dport 65534 -j ACCEPT
[root@localhost ~]# iptables -A INPUT -p tcp --doprt 80 -j ACCEPT
[root@localhost ~]# iptables -A INPUT -p tcp --dport 443 -j ACCEPT
[root@localhost ~]# iptables-save

备注：防火墙开放端口可以根据实际的服务端口来添加放行。

五、服务控制

1、关闭不必要的服务

关闭不必要的服务（如普通服务和xinetd服务），降低风险。

使用命令systemctl disable <服务名>设置服务在开机时不自动启动。

2、SSH服务安全

修改SSH远程端口： 修改SSH登录端口，这里可以修改为65534等高位端口，因为nmap扫描器默认也就探测0-1024端口，这样能够有效的规避扫描。

vim /etc/ssh/sshd_config 

重启sshd服务生效

systemctl restart sshd

--END--

欢迎关注【辉哥传书vlog】头条号，喜欢记得点赞、收藏、评论、转发哦！