Linux账户安全加固需强制密码复杂度与生命周期管理、登录失败锁定、SSH密钥认证、服务账户禁用交互式登录、root远程登录限制及日志监控闭环响应。
Linux系统账户策略防护与入侵检测是安全加固的核心环节,关键在于限制非法访问、及时发现异常行为。重点不是堆砌工具,而是让策略真正生效、让告警真正有用。
账户密码策略:强制强度与生命周期管控
默认密码策略宽松,必须通过PAM模块强化。编辑/etc/pam.d/common-password,添加或修改以下行:
- password requisite pam_pwquality.so retry=3 minlen=10 difok=3 ucredit=-1 lcredit=-1 dcredit=-1 ocredit=-1 —— 要求至少10位,含大小写字母、数字、特殊字符各一,且新密码与旧密码至少3位不同
- password [success=1 default=ignore] pam_unix.so obscure use_authtok sha512 remember=5 —— 保存最近5次密码哈希,防止重复使用
同时配置密码过期策略:chage -M 90 -m 7 -W 7 username(90天有效期,最少使用7天,提前7天警告)。对root以外的管理员账户,禁用空密码:passwd -l root仅在必要时启用。
登录限制与失败响应:防暴力破解
使用pam_faillock.so实现登录失败锁定:
- 在/etc/pam.d/common-auth中加入:auth [default=die] pam_faillock.so authfail deny=5 unlock_time=900 fail_interval=60(60秒内输错5次,锁定15分钟)
- 添加:auth [default=die] pam_faillock.so authsucc deny=5 unlock_time=900 fail_interval=60(成功登录后清除计数)
- 记录日志到/var/log/faillog,可用faillog -u username查看锁定状态
SSH层面同步收紧:编辑/etc/ssh/sshd_config,设置MaxAuthTries 3、LoginGraceTime 60,并禁用密码登录,改用密钥认证。
敏感账户管控:最小权限与登录约束
系统服务账户(如apache、mysql)不应具备交互式登录能力:
- 检查/etc/passwd中shell字段,将非必要账户的shell设为/usr/sbin/nologin或/bin/false
- 用usermod -s /usr/sbin/nologin username批量处理
- 限制root远程登录:PermitRootLogin no(sshd_config),并通过sudo授予指定用户必要权限
- 对运维人员账户,用/etc/security/access.conf限定可登录终端和时间,例如:- : adminuser : ALL EXCEPT tty1 tty2
入侵检测基础:日志监控与异常识别
不依赖商业IDS,用系统自带工具构建轻量检测链:
- 确保rsyslog正常运行,将/var/log/auth.log(Debian系)或/var/log/secure(RHEL系)纳入集中收集或本地轮转
- 用ausearch -m USER_LOGIN -i | grep "failed"快速查失败登录(需启用auditd)
- 部署logwatch每日摘要邮件,重点关注Invalid user、Failed password、session opened for user等关键词
- 对新增SUID文件、异常进程、计划任务变更保持敏感:find / -perm -4000 -type f 2>/dev/null定期比对基线
检测不是终点,要闭环:发现异常IP立即封禁(iptables -A INPUT -s x.x.x.x -j DROP),并回溯该IP所有操作日志。
