SSH服务配置补充

设置是否使用基于主机的验证

描述:
HostbasedAuthentication参数指定是否允许可信主机通过rhosts或/etc/hosts.
equiv胪进行身份验证以及成功的公钥落户机主机身份验证。此选项只适用于SSH
V2版本。
配置:
编辑/etc/ssh/sshd_ config文件来设置如下所示参数:
HostbasedAuthentication no

禁止解析SSH环境变量

允许用户通过SSH守护进程设置环境变量可能会导致用户绕过安全控制(设置既有SSH执行木马程序的执行路径),PermitUserEnvironment选项允许用户向ssh守护进程显示环境选项。
编辑/etc/ssh/sshd. .config文件来设置如下所示参数:
PermitUserEnvironment no

使用经过校验的MAC算法

MD5和96位MAC算法被认为是较弱的加密算法,并且在SSH降级攻击中具有较高的可利用性。弱加密通信算法作为一个可以被扩展的计算能力加以利用的薄弱环节,受到人们的广泛关注。破解算法的攻击者可以利用MiTM的弱点解密SSH隧道并捕获凭证和信息。
加固:限制SSH在用心期间可以使用的MAC算法类型。
配置方法:
编辑/etc/ssh/sshd_ config文件, 根据站点策略设置参数来设置如下所示参数:
hmac-sha2-256,hmac-sha2-512

设置登录SSH提示信息

Banners用于警告连接用户浏览的特定站点的连接策略。Banner参数指定一个文件,该文件的内容必须在允许身份验证之前发送给远程用户。
配置:
编辑:/etc/ssh/sshd_config文件设置如下参数:
sBanner /etc/issue.net(指定的文件的路径)

配置PAM密码安全策略

创建一定强度的密码

pam_ pwquality.so模块检查密码的强度。它检查确保密码不是字典中的单词,密码含有一定的长度,包含混合字符(如字母、数字、其他)和更多密码选项。(防爆破)
配置方法:
1、编辑/etc/ pam.d/password-auth和/etc/pam.d/system-auth文件,以设置pam_ pwquality.so模块的适当选项生成强大密码:
参数:
password requisite pam_ pwquality.so try_ first pass retry=3
/etc/pam.d/password-auth和/etc/pam.d/system-auth文件中选项设置:
password requisite pam_ pwquality.so try_ first pass retry=3
之后编辑/etc/security/pwquality.conf文件, 添加或更新以下设置:
minlen = 14 dcredit = -1 ucredit = -1 ocredit = -1
Icredit = -1

登录失败超过限定次数之后锁定配置方法:

配置:
1、编辑/etc/pam.d/password-auth和/etc/pam.d/system-auth文件, 添加以
下参数,以设置am_ fillock.so和pam unix.so |模块的适当选项限制登录失败次数:
auth required pam_ faillock.so preauth audit silent deny=5 unlock_ time=900
auth [success=1 default=bad] pam unix.so
auth [default= die] pam_faillock.so authfail audit deny= 5 unlock _time=900
auth sufficient pam faillock.so authsucc audit deny= 5 unlock_time=900

限制密码重用

不重复使用过去的密码,降低攻击者猜到用户正在使用的密码的可能性。
配置:
编辑/etc/pam.d/password-auth和/etc/pam.d/system-auth文件,在pam unix.so模块下设置remember参数:
password sufficient pam unix.so remember=5

设置密码有效期

设置的密码在多久之后过期,设置有效期并进行及时更换密码能降低被猜到密码的概率。有效事件设置为小于等于365天都行。
配置:
1、设置PASS_ MAX_ DAYS参数以符合/etc/login.defs中的站点策略:
PASS MAX DAYS 90
2、修改密码设置为匹配的用户的用户参数:
chage --maxdays 90 <user>

限制无效密码的账户锁定时间

配置方法:
1、运行以下命令将默认的密码不活动期设置为30天:
useradd -D -f 30
2、修改密码设置为匹配的所有用户的用户参数:
chage --inactive 30 <user>

确保root账户的默认组为GID 0运行以下命令将root用户默认组设置为GID 0 :

配置:
usermod -g 0 rootl

限制用户的umask值027

umask后面的数字,是权限减去的数字。例如:
在这里插入图片描述相当于是777-022=755也就是rwx-r-x-r-x除了属主以外其他用户只有读和运行的权限。

配置方法:
编辑/etc/bashrc, / etc / profile和/etc/profile.d/*.sh文件,如下添加或编辑任何umask参数可限制对应用户的权限。:
umask 027

删除root之外UID为0的用户

配置方法:
userdel -r <用户>
检查:
awk -F: ‘($3 == 0) { print $1 }’ /etc/passwd

Logo

更多推荐