如何做好Linux系统安全加固之账号安全？11个安全小技巧分享

由于Linux操作系统是一个开放源代码的免费操作系统，受到越来越多用户的欢迎。对于在线运行的业务，用户最关心的就是系统的安全性，系统运行的安全性直接影响着业务的安全。系统安全设置是一个多维度问题，下面小编就从linux的账号安全的维度和大家分享一些常用的Linux安全加固小技巧。

1. 设置密码策略

[root@lkjtest ~]# cat /etc/login.defs |grep -v "#" |grep PASS 
PASS_MAX_DAYS 180 
PASS_MIN_DAYS 0 
PASS_MIN_LEN 5 
PASS_WARN_AGE 7 

参数说明：

• PASSMAXDAYS：设置密码的过期日期
• PASSMINDAYS：密码最小更改日期
• PASSMINLEN ：密码的最小长度
• PASSWARNAGE ：密码到期提前告警的天数

2. 限制用户远程登陆

vim /etc/pam.d/sshd 
#%PAM-1.0  
auth required pam_tally2.so deny=3 unlock_time=300 even_deny_root root_unlock_time=10 

注意点：添加的内容一定要添加在前面，即“#%PAM-1.0” 之后，如果写在后面，虽然用户被锁定，但只要用户名和密码正确，依然是可以成功登陆进去的。

参数说明：

• evendenyroot : root用户也限制。
• deny ：设置普通用户和root用户连续错误登陆的最大次数，超过最大次数，则锁定该用户.
• unlock_time ：普通用户锁定后，多长时间后解锁，单位是秒。
• rootunlocktime ：root用户锁定后，多少时间后解锁，单位是秒。

3. 限制用户从tty登陆

vim /etc/pam.d/login 
#%PAM-1.0  
auth required pam_tally2.so deny=3 lock_time=300 even_deny_root root_unlock_time=10  

注意点：添加的内容一定要添加在前面，即“#%PAM-1.0” 之后，如果写在后面，虽然用户被锁定，但只要用户名和密码正确，依然是可以成功登陆进去的。

参数说明：

• evendenyroot : root用户也限制。
• deny ：设置普通用户和root用户连续错误登陆的最大次数，超过最大次数，则锁定该用户.
• unlock_time ：普通用户锁定后，多长时间后解锁，单位是秒。
• rootunlocktime ：root用户锁定后，多少时间后解锁，单位是秒。

4. 查看用户登陆失败次数

[root@localhost]# pam_tally2 --user root  
Login Failures Latest failure From 
root 0  

5. 解锁指定用户

[root@localhost ~]# pam_tally2 -r -u root  
Login Failures Latest failure From 
root 0  

6. 设置口令复杂度

编辑 /etc/pam.d/system-auth 
找到pam_cracklib,在后加一些参数具体如下： 
[root@lkjtest ~]# cat /etc/pam.d/system-auth |grep cracklib 
password requisite pam_cracklib.so retry=5 difok=3 minlen=10 ucredit=-1 lcredit=-1 dcredit=-1 ocredit=-1 

参数说明：

• retry=5：表示允许输入5次
• difok=3：新密码与旧密码不同的个数为3
• minlen=10：密码长度至少10位
• ucredit=-1 ：至少一位大写字母
• lcredit=-1：至少一位小写字母
• dcredit=-1：至少一位数字
• ocredit=-1：其他字符至少一位

7. 限制su的权限

（编辑：ASP站长网）