标签:自身 ane 创建 linu .so permanent sudo su 网络 根据
#时区/时间设置#空闲超时设置
echo TMOUT=300 >> /etc/profile
#禁用Telnetd
systemctl disable telnetd.service
#删除潜在危险文件
find / -name .netrc |xargs rm -rf
find / -name .rhosts |xargs rm -rf
find / -name hosts.equiv |xargs rm -rf
#口令期限,缺省用户创建权限设置
sed -i ‘s/PASS_MAX_DAYS\t99999/PASS_MAX_DAYS\t90/‘ /etc/login.defs
sed -i ‘s/PASS_MIN_LEN\t5/PASS_MIN_LEN\t8/‘ /etc/login.defs
sed -i ‘s/PASS_WARN_AGE\t7/PASS_WARN_AGE\t10/‘ /etc/login.defs
sed -i ‘s/UMASK 077/UMASK 027/‘ /etc/login.defs
#密码复杂度设置,root用户不受限制,此项最好人工设定(不同的安装或云主机文件不一样)
sed -i ‘/password required pam_deny.so/a\password requisite pam_cracklib.so retry=3 minlen=8 minclass=3 dictpath=/usr/share/cracklib/pw_dict‘ /etc/pam.d/system-auth
#创建普通用户、授权wheel组用户可以su -、禁用root远程登入
useradd -G wheel yunwei
echo ‘Hdhxt@8978‘ |passwd --stdin yunwei
sed -i ‘s/#auth\t\trequired\tpam_wheel.so use_uid/auth\t\trequired\tpam_wheel.so group=wheel/‘ /etc/pam.d/su
echo "SU_WHEEL_ONLY yes" >> /etc/login.defs
sed -i ‘s/#PermitRootLogin yes/PermitRootLogin no/‘ /etc/ssh/sshd_config
service sshd restart
#账号信息文件权限
chmod 644 /etc/passwd
chmod 400 /etc/shadow
chmod 644 /etc/group
#关闭SELINUX,设置firewalld
sed -i ‘s/SELINUX=enforcing/SELINUX=permissive/‘ /etc/selinux/config
firewall-cmd --permanent --zone=public --add-port=80/tcp
firewall-cmd --permanent --zone=public --add-port=443/tcp
firewall-cmd --permanent --zone=public --add-rich-rule="rule family="ipv4" source address="192.168.126.0/24" service name="ssh" accept"
firewall-cmd --reload
#(备选) - 用户可以使用sudo,如果用户可以使用sudo则代表其具有sudo su - 的root权限
#sed -i ‘/root\tALL=(ALL)[[:space:]]\tALL/a\yunwei ALL=(ALL) NOPASSWD: ALL‘ /etc/sudoers
#日志审计,默认安装日志审计都是正常开启的
#根据自身网络环境添加路由
标签:自身 ane 创建 linu .so permanent sudo su 网络 根据
原文地址:http://blog.51cto.com/7625939/2328329
