一分钟内仅允许4次登录失败,超过4次,登录账号锁定1分钟。
密码策略必须同时满足大小写字母、数字、特殊字符。
更改或创建密码时执行复杂性要求;
密码最短使用期限为10天
路径:vim /etc/login.defs
强制密码历史为5个密码;
密码最长存留期为45天;
远程用户非活动会话连接超时应小于等于5分钟
vim /etc/ssh/sshd_config
数据库安全策略以普通账户mysql安全运行mysql服务,禁止mysql以管理员账号权限运行;
途径:vim /etc/my.cnf
删除默认数据库(test);
输入:mysql -u root -p,登录MySQL服务
改变默认mysql管理员用户为:SuperRoot;
使用mysql内置MD5加密函数加密用户user1的密码为(P@sswOrd1!)
中间件服务安全加固VSFTPHTTPDVSFTP
vsftpd禁止匿名用户上传;
vim /etc/vsftpd/vsftpd.conf
设置无任何操作的超时时间为5分钟;
匿名用户访问的最大传输速率为512KB/S;
用户访问的最大传输速率为1M
HTTPD
更改默认监听端口为6666;
vim /etc/httpd/conf/httpd.conf
设置禁止目录浏览;
隐藏Apache版本号;
将Apache服务降权,用户为apache,用户组为www
中间件服务加固SSHDVSFTPDIISSSH服务加固
修改ssh服务端口为2222;
vim /etc/ssh/sshd_config
ssh禁止root用户远程登录;
设置root用户的计划任务。每天早上7:50自动开启ssh服务,22:50关闭;每周六的7:30重新启动ssh服务;
修改SSHD的PID档案存放地
VSFTPD服务加固
设置运行vsftpd的非特权系统用户为pyftp;
vim /etc/vsftpd/vsftpd.conf
限制客户端连接的端口范围在50000-60000;
限制本地用户登录活动范围限制在home目录
防火墙策略Linux系统使用iptables禁用23端口
Linux系统使用iptables禁止别人ping通
为防止Nmap扫描软件探测到关键信息,设置iptables防火墙策略对3306号端口进行流量处理;
为了防止SSH服务被暴力枚举,设置iptables防火墙策略仅允许172.16.10.0/24网段内的主机通过SSH连接本机;
为防御IP碎片攻击,设置iptables防火墙策略限制IP碎片的数量,仅允许每秒处理1000个
设置防火墙允许本机转发除ICMP协议以外的所有数据包;
为防止Nmap等扫描软件探测到关键信息,设置iptables防火墙策略对80号端口进行流量处理;
为防御拒绝服务攻击,设置iptables防火墙策略对传入的流量进行过滤,限制每分钟允许3个包传入,并将瞬间流量设定为一次最多处理6个数据包(超过上限的网络数据包将丢弃不予处理);
只允许转发来自172.16.0.0/24局域网段的DNS解析请求数据包
禁止任何机器ping本机;
拒绝TCP标志位全部为1及全部为0的报文访问主机;
禁止转发来自MAC地址为29:0E:29:27:65:EF主机的数据
配置iptables防火墙过滤规则,以封堵目标网段(172.14.1.0/24),并在两小时后解除封锁
