1. Toy模板网首页
  2. > Toy博客

服务器弱口令漏洞修复策略

7月前 作者:努力的Andy 分类:Toy博客 阅读(31) 违法举报

这篇具有很好参考价值的文章主要介绍了服务器弱口令漏洞修复策略。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

1、完善密码策略,密码长度至少为8(包括)位以上字符,且包含数字、大小写字母、特殊字符。

vi /etc/pam.d/system-auth

password requisite pam_cracklib.so try_first_pass retry=3 minlen=8 ocredit=-1 ucredit=-1 lcredit=-1 dcredit=-1

try_first_pass retry=3:在密码设置交互界面,用户有 3 次机会重设密码。

minlen=:此选项用来设置新密码的最小长度ucredit= :此选项用来设定新密码中可以包含的大写字母的最大数目。-1 至少一个

lcredit=:此选项用来设定新密码中可以包含的小写字母的最大数目

dcredit=:此选项用来设定新密码中可以包含的数字的最大数目

注:这个密码强度的设定只对普通用户有限制作用,root用户无论修改自己的密码还是修改普通用户的时候,不符合强度设置依然可以设置成功

2、限制ssh方式登录(设置普通用户和root用户连续错误登陆的最大次数,当超过最大次数,锁定该用户,并设置在一定时间后解锁)

vim /etc/pam.d/login

# 添加如下一行:

uth required pam_tally2.so deny=3 unlock_time=100 even_deny_root root_unlock_time=300

deny: 设置普通用户和root用户连续错误登陆的最大次数,超过最大次数,则锁定该用户

unlock_time: 设定普通用户锁定后,多少时间后解锁,单位是秒

root_unlock_time: 设定root用户锁定后,多少时间后解锁,单位是秒

3、限制用户的登录次数(设置账号锁定并在一定时间内解锁)

设置账号锁定并在一定时间内解锁

# vi /etc/pam.d/system-auth

auth required pam_tally2.so onerr=fail audit silent deny=5 unlock_time=900

4、开启用户在无操作一定时间后自动退出终端

echo $TMOUT # 如果输出空或0表示不超时,大于0的数字n表示n秒没有收入则超时 #

vi /etc/profile

# 加入如下代码

export TMOUT=900

# 900即900秒内无操作自动退出终端,若修改为0就是设置不超时

source /etc/profile # 让配置立即生效

5、设置ip访问黑白名单(设置SSH只允许特定用户从特定的IP登录,其它未经允许的用户和IP都不能登录)

允许ip访问:

# vim /etc/hosts.allow

#最后一行加入:

sshd:192.168.0.28:allow //多个IP可以按照此格式写多行

sshd:192.168.18.1:allow

sshd:192.168.18.2:allow

禁止ip访问

# vim /etc/hosts.deny

#最后一行添加你要禁止的ip就可以了

sshd:192.168.1.14:deny

拒绝所有:

# vim /etc/hosts.deny,最后一行加入:

sshd:ALL //除了上面允许登录的IP,其它IP都拒绝登录

示例:若只允许192.168.1网段的主机登录

# vim /etc/hosts.allow

#最后一行加入:

sshd:192.168.1.*:allow

# vim /etc/hosts.deny

#最后一行加入:

sshd:ALL //除了上面允许登录的IP,其它IP都拒绝登录

示例:若只允许192.168.0.28以test1用户身份、192.168.1.13以root用户身份登录192.168.1.81

# vim /etc/ssh/sshd_config

#最后一行加入:

AllowUsers test1@192.168.0.28 root@192.168.1.13 //多个用户名@IP之间使用空格分隔

6、设置密码可使用的最大天数

# vi /etc/login.defs

PASS_MAX_DAYS 90

#这一参数限制一个密码可使用的最大天数。它强制用户在过期前修改他/她的密码。如果他们忘记修改,那么他们会登录不了系统。他们需要联系管理员才能正常登录。这里将天数设置为 90 天。

7、设置密码最小天数

# vi /etc/login.defs

PASS_MIN_DAYS 15

#这个参数限制两次修改之间的最少天数。举例来说,如果这个参数被设置为 15 天,用户今天修改了密码,那么在 15 天之内他都不能修改密码。这里将天数设置为 15 天。

8、设置密码警告天数

# vi /etc/login.defs

PASS_WARN_AGE 10

#这个参数控制密码警告的前置天数,在密码即将过期时会给用户警告提示。在警告天数结束前,用户会收到日常警告提示。这可以提醒用户在密码过期前修改他们的密码,否则我们就需要联系管理员来解锁密码。这里将天数设置为 10 天。

9、强制用户首次登录时修改默认口令,使用用户自定义初始密码策略

chage -d 0 用户名

如图:

服务器弱口令漏洞修复策略
服务器弱口令漏洞修复策略

(current)UNIX password:

\#输入旧密码

New password:

Retype new password:

\#输入两次新密码

登录。文章来源地址https://www.toymoban.com/news/detail-469930.html

到了这里,关于服务器弱口令漏洞修复策略的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

分享到:
领支付宝红包 赞助服务器费用

相关文章

  • Linux Redhat 服务器 OpenSSH 漏洞修复 or 升级 OpenSSH 8.8

    Linux Redhat 服务器 OpenSSH 漏洞修复 or 升级 OpenSSH 8.8

    ##@TOC 近期甲方系统漏洞扫描,发现服务器存在一些漏洞如下:OpenSSH安全漏洞(CVE-2021-41617),OpenSSH命令注入漏洞(CVE-2020-15778),OpenSSH安全漏洞(CVE-2017-15906),OpenSSH安全漏洞(CVE-2019-6111),OpenSSH欺骗安全漏洞(CVE-2019-6110),OpenSSH欺骗安全漏洞(CVE-2019-6109),OpenSSH访问限制绕过漏洞(CVE

    2024年02月04日
    浏览(40)

  • Centos7服务器同步网络发现漏洞与修复手册(每周更新3次)

    期望通过每一次分享,让技术的门槛变低,落地更容易。 —— around 作者公司有8台云服务器,本地有2台物理服务器,并且都联网了。云服务器的安全防护到期了,公司也不太想续费了,遂自己从代码上添加了一系列软件防护,但漏洞是一直再出,谁也无法保障是永远安全,

    2024年02月04日
    浏览(38)
  • 中间件安全:Apache Tomcat 弱口令.(反弹 shell 拿到服务器的最高控制权.)

    中间件安全:Apache Tomcat 弱口令.(反弹 shell 拿到服务器的最高控制权.)

    Tomcat  是 Apache 软件基金会(Apache Software Foundation)的 Jakarta 项目中的一个核心项目,由 Apache、Sun 和其他一些公司及个人共同开发而成。 通过弱口令登录后台,部署 war 包 geshell . 中间件安全:Apache Tomcat 弱口令. Apache Tomcat 弱口令: 靶场准备:Web安全:Vulfocus 靶场搭建.(漏

    2024年02月05日
    浏览(49)
  • (netbios-ssn (139/tcp) / NT-Server弱口令) 漏洞修复

    (netbios-ssn (139/tcp) / NT-Server弱口令) 漏洞修复

     本文参考来源:https://tongxiehui.net/by/60f76d48871c6.html ,如有侵权,请联系本人,谢谢。 目录: 封锁135、139、443、445端口 修改administrator密码 漏洞描述: 使用X-Scan-v3.3 工具进行漏洞扫描 端口/服务:netbios-ssn (139/tcp) 漏洞名称:NT-Server弱口令 NT-Server弱口令: \\\"administrator/[空口令

    2023年04月09日
    浏览(22)
  • 修复“找不到服务器IP地址”错误

    修复“找不到服务器IP地址”错误

    当您在浏览器的地址栏中输入域名时,如果输入的域名与相应的 Internet 协议地址(IP 地址)不匹配,您将遇到“找不到服务器 IP 地址”错误。这通常发生在DNS服务器无法找到正确的IP地址时,导致无法访问网站。 用旧电脑搭建NAS 在您的家庭中,通过将旧 PC 转变为NAS服务器,

    2024年01月17日
    浏览(30)

  • 服务器防攻击策略

    centos7.6 ubuntu 20 ----------- 亚马逊 入站规则  0-65535 禁掉所有端口 序号越小优先级越高 123.0.0.0/8 123.456.0.0/16 123.456.789.0/24 ---------- 监控流量软件 iftop 查看命令 iftop limit_req_zone (令牌桶 ip一秒限制访问数) nginx 开启 nginx -t 检测配置语法 nginx -s reload 重启nginx tail -n 5000 access.log  //查

    2024年02月09日
    浏览(34)

  • 记一次服务器Cuda驱动崩溃修复过程

    今天实验室师兄在服务器运行深度学习训练时候得到报错CUDA initialization: Unexpected error from cudaGetDeviceCount()疑似Cuda与NVIDIA显卡驱动沟通中出现了问题,使用 nvidia-smi 指令时提示 Failed to initialize NVML: Driver/library version mismatch ,经过沟通了解到,重启与重新配置Cuda环境均未能解决

    2024年02月08日
    浏览(44)
  • Ubuntu服务器/工作站常见故障修复记录

    Ubuntu服务器/工作站常见故障修复记录

    日常写代码写方案文档,偶尔遇上服务器出现问题的时候,也需要充当一把运维工程师,此帖用来记录服务器报错的一些解决方案,仅供参考! 工作站品牌:DELL Precision 7920 塔式工作站 工作站配置: – 操作系统:Ubuntu 18.04 – CPU:16核(型号Intel® Xeon® Gold 5222 CPU @ 3.80GHz)

    2024年02月19日
    浏览(33)
  • 什么是HTTP 500内部服务器错误,要怎么修复

    什么是HTTP 500内部服务器错误,要怎么修复

    HTTP 500是一种原始的错误代码,它指示网站服务器在处理请求时发生了内部错误,不过具体错误原因是不确定的。一般情况下,这种错误通常是由服务器程序上的bug或者配置问题造成的。当服务器收到请求时,尝试执行它时,但是发现无法执行请求并在处理请求时发生了问题

    2024年02月10日
    浏览(43)

  • 什么是HTTP500内部服务器错误,要如何修复

    HTTP 500内部服务器错误是指在服务器端处理请求时发生了错误,导致无法完成请求并返回错误信息。这种错误通常由服务器端的程序错误、数据库连接问题、权限问题或配置问题引起。下面将详细介绍HTTP 500错误的常见原因及解决方案。 1.服务器端程序错误 如果服务器端程序

    2024年02月06日
    浏览(39)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包