1、禁止root直接登录,采用sudo授权账号权限
vim /etc/ssh/sshd_config
找到“PermitRootLogin yes”把后面的yes改成no
2、设置密码长度12位,包括大小写、字母、数字、特殊字符
vim /etc/security/pwquality.conf
minlen = 12
minclass = 1
maxrepeat = 0
maxclassrepeat = 0
lcredit = -1
ucredit = -1
dcredit = -1
3、连续输入10次密码错误,锁定15分钟
vim /etc/pam.d/sshd
在#%PAM-1.0下添加:
auth required pam_tally2.so deny=10 unlock_time=900 even_deny_root root_unlock_time=900
4、设置每30天须修改密码,提前7天提示
vim /etc/login.defs
PASS_MAX_DAYS 30
PASS_MIN_DAYS 0
PASS_MIN_LEN 12
PASS_WARN_AGE 7
5、密码历史记录12次
vim /etc/pam.d/system-auth
password sufficient pam_unix.so sha512 shadow nullok try_first_pass use_authtok remember=12
6、登录15分钟空闲自动登出
vim /etc/profile
在export PATH USER LOGNAME MAIL HOSTNAME HISTSIZE HISTCONTROL下添加
export tmout=900