一些安全設定

時間同步

一次性用ntpdate

apt-get install ntpdate
ntpdate-debian

也可以加入cron 但是麻煩

建議改用 ntpd

apt-get install npt

reference: https://szlin.me/2016/07/19/%E4%BD%BF%E7%94%A8-ntpd-%E4%BE%86%E6%9B%BF%E6%8F%9B-ntpdate-%E4%BB%A5%E5%AE%8C%E6%88%90%E6%A0%A1%E6%99%82%E7%9A%84%E5%B7%A5%E4%BD%9C/

log rotate

使用 logrotate

apt-get install logrotate

確定設定檔

/etc/logrotate.d/apache2
/etc/logrotate.d/rsyslog
/etc/logrotate.d/wtmp
/etc/logrotate.d/btmp

should be

    daily
    rotate 365

or
    weekly
    rotate 48

or
    monthly
    rotate 12

設好之後,確定有跑

cat /etc/cron.daily/logrotate

帳號安全

設定自動離線

export TMOUT=600

建議這樣做

sudo vi /etc/profile.d/bash_autologout.sh
TMOUT=300
readonly TMOUT
export TMOUT

reference: https://www.cyberciti.biz/faq/linux-tmout-shell-autologout-variable/

用戶密碼

不得少於十二個字

vi /etc/login.defs PAS S_MIN_LEN 12

密碼90天需更換

vi /etc/login.defs
PASS_MAX_DAYS 90

reference: http://napmas.blogspot.com/2012/03/linux.html

用戶打錯密碼

編輯

/etc/pam.d/common-auth

加一行在Primary" block 上一行

auth    required           pam_tally2.so onerr=fail deny=3 unlock_time=600 audit even_deny_root root_unlock_time=600

reference: https://www.linuxtechi.com/lock-user-account-incorrect-login-attempts-linux/

用戶密碼不能一樣

編輯

/etc/pam.d/common-password

編輯如下,主要是加上 remember=3

password        [success=1 default=ignore]      pam_unix.so obscure sha512 remember=3

Comments