1.备份 /etc 文件夹 和 /home等目录
mkdir /backup
tar -cPpf /backup/etc20170526.bak.tar /etc
还原 tart
tar ——overwrite -xpf /backup/home.bak.tar -C /
2.修改用户名密码
http://jingyan.baidu.com/article/9989c7463a3f22f649ecfe6c.html
whoami
passwd
3.修改用户过期策略
http://blog.csdn.net/xiegh2014/article/details/52595695
vi /etc/login.defs
针对新用户
PASS_MAX_DAYS 90
PASS_MIN_DAYS 0
PASS_MIN_LEN 9
PASS_WARN_AGE 15
chage -M 90 root
chage -W 15 root
chage -l root
4.登录失败锁定处理
http://www.landui.com/help/show-2789.html
vim /etc/pam.d/login
在#%PAM-1.0下面添加:
auth required pam_tally2.so deny=5 unlock_time=180 #登录失败5次锁定180秒,不包含root
auth required pam_tally2.so deny=5 unlock_time=1800 even_deny_root root_unlock_time=1800 #包含root
5.修改root用户名
root2017
http://www.xker.com/page/e2017/0131/262022.html
参考:http://blog.csdn.net/a1154490629/article/details/52190801
/etc/passwd中一行记录对应着一个用户,每行记录又被冒号(:)分隔为7个字段,其格式和具体含义如下:
用户名:口令:用户标识号:组标识号:注释性描述:主目录:登录Shell
vi /etc/passwd
修改第1行第1个root为新的用户名
按esc键退出编辑状态,并输入:x保存并退出
vi /etc/shadow
修改第1行第1个root为新的用户名
按esc键退出编辑状态,并输入:x!强制保存并退出
为了正常使用sudo,需要修改/etc/sudoers的设置,修改方法如下(来自How to add users to /etc/sudoers):
运行visudo
找到root ALL=(ALL) ALL
在下面添加一行:新用户名 ALL=(ALL) ALL
:x保存退出
6.开启审计进程auditd
vim /etc/audit/auditd.conf
max_log_file=50
max_log_file_action=KEEP_LOGS
service auditd start
http://blog.chinaunix.net/uid-17238776-id-4904716.html
7.定期备份 /var/log/audit/ 下的日志
两个月移动一下文件夹内所有东西
crontab -e
00 01 01 */2 * /bin/bash /backup/bakaudit.sh
mkdir /backup/audit
touch bakaudit.sh 文件夹只所有文件移动到另外一个文件夹中 #!/bin/sh tempdir=audit`date +%Y-%m-%d_%H%M%S` mkdir /backup/audit/$tempdir mv /var/log/audit/* /backup/audit/$tempdir /sbin/service auditd restart 移动完以后要重新启动auditd,否则后面日志好像不生成了 chmod +x /backup/bakaudit.sh 8.自动更新补丁 https://linux.cn/article-8015-1.html?utm_source=weixin https://www.androiddev.net/centos-auto-update/ 9.设置ssh连接超时时间 (以秒为单位) echo export TMOUT=600 >> /root/.bash_profile cat /root/.bash_profile source .bash_profile cp /etc/ssh/sshd_config /etc/ssh/sshd_config_bak echo ClientAliveInterval=60 >> /etc/ssh/sshd_config service sshd restart cat /etc/ssh/sshd_config service sshd restart exit http://bristol.blog.51cto.com/1004110/1567390 10.装杀毒软件 Clamav http://115.com/1000018516/T1232213.html http://www.iyunv.com/thread-237251-1-1.html Linux ~]# tar [-cxtzjvfpPN] 文件与目录 .... 参数: -c :建立一个压缩文件的参数指令(create 的意思); -x :解开一个压缩文件的参数指令! -t :查看 tarfile 里面的文件! 特别注意,在参数的下达中, c/x/t 仅能存在一个!不可同时存在! 因为不可能同时压缩与解压缩。 -z :是否同时具有 gzip 的属性?亦即是否需要用 gzip 压缩? -j :是否同时具有 bzip2 的属性?亦即是否需要用 bzip2 压缩? -v :压缩的过程中显示文件!这个常用,但不建议用在背景执行过程! -f :使用档名,请留意,在 f 之后要立即接档名喔!不要再加参数! 例如使用『 tar -zcvfP tfile sfile』就是错误的写法,要写成 『 tar -zcvPf tfile sfile』才对喔! -p :使用原文件的原来属性(属性不会依据使用者而变) -P :可以使用绝对路径来压缩! -N :比后面接的日期(yyyy/mm/dd)还要新的才会被打包进新建的文件中! --exclude FILE:在压缩的过程中,不要将 FILE 打包!