Linux系统安全加固基础

注：建议在修改相关配置文件时，首先对需要修改文件进行备份。
1、ssh远程连接
vi /etc/sshd/sshd_config
Port 65531
#修改ssh端口，默认22
ListenAddress 192.168.1.X
#允许ssh登录的IP地址
PermitRootLogin no
#禁止root通过ssh连接）
AllowUsers [email protected].*
#允许用户test从IP为192.168.1.*客户端登陆访问）
修改完成后重启ssh服务
service sshd restart

2、用户认证
在/etc/pam.d/system-auth文件中加入下面两行：
用户尝试登录5次失败，锁住这个用户（faillog -u <用户名> -r解锁）
auth required /lib/security/pam_tally.so onerr=fail no_magic_root
account required /lib/security/pam_tally.so deny=5 no_magic_root reset

3、增强内核及TCP/IP安全
在/etc/sysctl.conf文件中添加如下内容：
调整如下内核参数，以提高系统防止IP欺骗及DOS攻击的能力：
net.ipv4.ip_forward = 0
#对于LVS，网关或VPN服务器，要设置为1
net.ipv4.conf.all.accept_source_route = 0
#丢弃源路由包
net.ipv4.conf.all.accept_redirects = 0
#禁止接受重定向
net.