Linux 服务器安全策略配置

修改/etc/login.defs文件，控制密码的有效期

chage -l 用户名

控制密码复杂度，需已安装pam_cracklib，centos已默认安装

修改/etc/etc/pam.d/system-auth文件，添加如下语句，需放置在最前面，否则可能不生效

参数说明

Linux登录失败

1 修改/etc/hosts.allow文件，增加允许通过SSH连接的客户端IP

2 修改/etc/hosts.deny文件，增加禁止通过SSH连接的客户端IP

3 重启sshd服务和xinetd(可选)服务，使之生效

如果hosts.allow和hosts.deny文件均包含同一ip，则以hosts.all文件为准，如果只是单独配置了hosts.all文件，并没有在hosts.deny文件禁止，依然不生效

使用下面命令，查看系统是否含有pam_tally2.so模块，如果没有就需要使用pam_tally.so模块，两个模块的使用方法不太一样，需要区分开来。

编辑系统/etc/pam.d/system-auth 文件，一定要在pam_env.so后面添加如下策略参数：

上面只是限制了从终端su登陆，如果想限制ssh远程的话，要改的是/etc/pam.d/sshd这个文件，添加的内容跟上面一样！

编辑系统/etc/pam.d/sshd文件，注意添加地点在#%PAM-1.0下一行，即第二行添加内容

ssh锁定用户后查看：

编辑系统 /etc/pam.d/login 文件，注意添加地点在#%PAM-1.0的下面,即第二行，添加内容

tty登录锁定后查看：

编辑 /etc/pam.d/remote文件，注意添加地点在pam_env.so后面,参数和ssh一致

---