chage --warndays 7 root

4. 非 wheel 組用戶禁用 su | 身份鑒別

普通用戶禁用 su，僅特殊的用戶組 wheel 下用戶才可以使用 su 切換到 root 用戶
加固建議
在 /etc/login.defs 中將 SU_WHEEL_ONLY 注釋放開，并添加參數(shù) yes：

SU_WHEEL_ONLY yes

修改默認配置文件 /etc/pam.d/su，去掉如下這行注釋，并在尾部添加 use_uid：

auth       required   pam_wheel.so use_uid

添加 wheel 組用戶

# 添加 wheel 組
groupadd -r wheel
# 創(chuàng)建 hiwb 用戶并加入到 wheel 組
useradd -r -m -s /bin/bash -g wheel -r hiwb
# 將 hiwb 添加到 wheel 組
usermod -G wheel hiwb
# 為 hiwb 用戶設置密碼
passwd hiwb

查看 wheel 組用戶

cat /etc/group | grep wheel

5. 密碼復雜度檢查 | 身份鑒別

檢查密碼長度和密碼是否使用多種字符類型
加固建議
安裝 pam 的 cracklib 模塊，cracklib 能提供額外的密碼檢查能力

apt install libpam-cracklib

編輯 /etc/pam.d/common-password 配置文件中包含 password requisite pam_cracklib.so 這一行。配置 minlen（密碼最小長度）設置為 9-32 位，ucredit=-1 lcredit=-1 dcredit=-1 ocredit=-1，它表示密碼必須至少包含一個大寫字母(ucredit)，一個小寫字母(lcredit)，一個數(shù)字(dcredit)和一個標點符號(ocredit)。如

vim /etc/pam.d/common-password

password 	requisite 	pam_cracklib.so retry=3 minlen=11 difok=3 ucredit=-1 lcredit=-1 dcredit=-1 ocredit=-1

6. 檢查密碼重用是否受限制 | 身份鑒別

強制用戶不重用最近使用的密碼，降低密碼猜測攻擊風險
加固建議
在 /etc/pam.d/common-password 中 password [success=1 default=ignore] pam_unix.so 這行的末尾配置 remember 參數(shù)為 5-24 之間，原來的內容不用更改，只在末尾加了 remember=5。

password        [success=1 default=ignore]      pam_unix.so obscure use_authtok try_first_pass sha512 remember=5

7. 確保 SSH MaxAuthTries 設置為 3 到 6 之間 | SSH 服務配置

設置較低的 Max AuthTrimes 參數(shù)將降低 SSH 服務器被暴力攻擊成功的風險
加固建議
在 /etc/ssh/sshd_config 中取消 MaxAuthTries 注釋符號 #，設置最大密碼嘗試失敗次數(shù) 3-6，建議為 4：

MaxAuthTries 4

8. 設置 SSH 空閑超時退出時間 | SSH 服務配置

設置 SSH 空閑超時退出時間，可降低未授權用戶訪問其他用戶 ssh 會話的風險
加固建議
編輯 /etc/ssh/sshd_config，將 ClientAliveInterval 設置為 300 到 900，即 5-15 分鐘，將 ClientAliveCountMax 設置為 0-3 之間。

ClientAliveInterval 600
ClientAliveCountMax 2

9. 確保 SSH LogLevel 設置為 INFO | SSH 服務配置

確保 SSH LogLevel 設置為 INFO，記錄登錄和注銷活動
加固建議
編輯 /etc/ssh/sshd_config 文件以按如下方式設置參數(shù)(取消注釋):

LogLevel INFO

10. 檢查系統(tǒng)空密碼賬戶 | 身份鑒別

檢查系統(tǒng)空密碼賬戶
加固建議
為用戶設置一個非空密碼，或者執(zhí)行 passwd -l 鎖定用戶

11. 禁止 SSH 空密碼用戶登錄 | SSH 服務配置

禁止 SSH 空密碼用戶登錄
加固建議
編輯文件 /etc/ssh/sshd_config，將 PermitEmptyPasswords 配置為 no:

PermitEmptyPasswords no

12. SSHD 強制使用 V2 安全協(xié)議 | SSH 服務配置

SSHD 強制使用V2安全協(xié)議
加固建議
編輯 /etc/ssh/sshd_config 文件，在 #ListenAddress :: 下方式設置參數(shù)：

#ListenAddress ::
Protocol 2

13. SSHD 修改端口號 | SSH 服務配置

SSHD 修改遠程訪問端口
加固建議
編輯 /etc/ssh/sshd_config 文件，設置參數(shù)：

Port 8379

14. 確保rsyslog服務已啟用 | 安全審計

確保 rsyslog 服務已啟用，記錄日志用于審計
加固建議
運行以下命令啟用 rsyslog：

systemctl enable rsyslog.service

15. 訪問控制配置文件的權限設置 | 文件權限

訪問控制配置文件的權限設置
加固建議
運行以下 4 條命令：

chown root:root /etc/hosts.allow
chown root:root /etc/hosts.deny
chmod 644 /etc/hosts.allow
chmod 644 /etc/hosts.deny

16. 設置用戶權限配置文件的權限 | 文件權限

設置用戶權限配置文件的權限
加固建議
執(zhí)行以下 5 條命令

chown root:root /etc/group /etc/passwd /etc/shadow /etc/gshadow
chmod 644 /etc/group /etc/passwd /etc/shadow /etc/gshadow

17. 服務器禁 ping | 入侵防范

禁止通過 ping ip 來訪問服務器，其實沒必要禁止 ping，為了減少大流量的 ping 包對網絡設備 CPU 資源的影響，會采用 CoPP (Control Plane Policy) 限速機制來限制 ICMP 發(fā)送速率。比如限制 ICMP rate 為 1 秒一個，這樣的速率既便于排錯又可以避免通過 ICMP 的網絡攻擊
加固建議
在 /etc/sysctl.conf 文件最后一行追加 ：

net.ipv4.icmp_echo_ignore_all = 1

18. 開啟地址空間布局隨機化 | 入侵防范

它將進程的內存空間地址隨機化來增大入侵者預測目的地址難度，從而降低進程被成功入侵的風險
加固建議
在 /etc/sysctl.conf 或 /etc/sysctl.d/* 文件中設置以下參數(shù)： kernel.randomize_va_space = 2 執(zhí)行命令：

sysctl -w kernel.randomize_va_space=2

執(zhí)行命令 (配置文件才能生效)：

自我介紹一下，小編13年上海交大畢業(yè)，曾經在小公司待過，也去過華為、OPPO等大廠，18年進入阿里一直到現(xiàn)在。

深知大多數(shù)網絡安全工程師，想要提升技能，往往是自己摸索成長，但自己不成體系的自學效果低效又漫長，而且極易碰到天花板技術停滯不前！

因此收集整理了一份《2024年網絡安全全套學習資料》，初衷也很簡單，就是希望能夠幫助到想自學提升又不知道該從何學起的朋友。

既有適合小白學習的零基礎資料，也有適合3年以上經驗的小伙伴深入學習提升的進階課程，基本涵蓋了95%以上網絡安全知識點，真正體系化！

由于文件比較大，這里只是將部分目錄大綱截圖出來，每個節(jié)點里面都包含大廠面經、學習筆記、源碼講義、實戰(zhàn)項目、講解視頻，并且后續(xù)會持續(xù)更新

如果你覺得這些內容對你有幫助，可以添加VX：vip204888 （備注網絡安全獲?。?/strong>