本文作者:DurkBlue

加强服务器安全推荐

加强服务器安全摘要: 通用的账户密码 (通用密码包含:操作系统、web应用、数据库等)在技术条件满足时,账户/密码认证建议满足如下规则:一、     账...

通用的账户密码 (通用密码包含:操作系统、web应用、数据库等)在技术条件满足时,账户/密码认证建议满足如下规则:

一、     账户与密码配置策略

  1. 密码应该长度不少于10位

  2. 建议不要使用有一定特征和规律容易被破解的常用口令的密码(如:在常用彩虹表中的密码、滚键盘密码如:!QAZxsw2qazxsw1qaz@WSX1q2w3e123456789password等),且密码复杂度至少包含大写字母、小写字符、数字、特殊字符四类中的三种;

  3. 密码尽量不要包含账户如:adminstrator/administratortest/testroot/rootoracle/oraclemysql/mysql

  4. 建议至少每90天更改一次密码,若账户已经处于失效状态,则不要求修改;

  5. 建议不要重复使用最近5次(含5次)内已使用的密码;

  6. 建议根据不同应用设置不同的帐号密码,不建议多个应用使用同一套账户/密码;

  7. 帐号管理人员初次发放或者初始化密码给用户时,如果知道密码内容,建议强制用户首次使用修改密码,不能强制用户修改密码的则为密码设置过期期限(用户必须及时更改密码,否则密码应被强制失效);

  8. 建议为所有账户配置设置连续认证失败次数超过5次(不含5次),锁定账号策略和30分钟自动解除锁定策略;

  9. 建议对所有账户设置不活动时间超过10分钟自动退出或锁定策略;

  10. 新建系统中的帐号缺省密码在首次使用前,建议强制用户更改;

  11. 建议开启账户登录记录日志功能,登录日志最少保存180天,登录日志中不能保存用户的密码。

二、     账户与密码传输策略

  1. 不建议以明文形式通过Internet、无线设备传送密码,所有账号密码认证体系在技术支持条件下,建议使用加密协议安全登录;

建议为用户建立安全的密码自助重置流程,密码重置应验证用户身份,比如邮件验证码验证、预留手机短信验证、

三、     解决步骤

       1、针对第8点,您可以打开 /etc/pam.d/login在#%PAM-1.0 下新起一行,加入
auth required pam_tally2.so deny=5 unlock_time=1800 even_deny_root root_unlock_time=1800

        2、针对第9点打开 /etc/ssh/sshd_config修改如下参数
        ClientAliveInterval 600
        ClientAliveCountMax 0

        3、针对第10点,在新用户创建完成后,执行:chage -d 0 username 让密码过期,新用户登录时会重置密码

        4、针对第11点,建议配置rsyslog服务来设置日志保存天数。

此篇文章由DurkBlue博主亲自发布,转载请注明来处哟
文章投稿或转载声明

来源:DurkBlue版权归原作者所有,转载请保留出处。本站文章发布于 06-11
温馨提示:文章内容系作者个人观点,不代表DurkBlue博客对其观点赞同或支持。

赞(0

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

微信扫一扫打赏

阅读
分享

发表评论取消回复

快捷回复:
AddoilApplauseBadlaughBombCoffeeFabulousFacepalmFecesFrownHeyhaInsidiousKeepFightingNoProbPigHeadShockedSinistersmileSlapSocialSweatTolaughWatermelonWittyWowYeahYellowdog

评论列表 (暂无评论,457人围观)参与讨论

还没有评论,来说两句吧...