主机迁移服务 SMS-制作Linux空壳镜像:安全加固（可选）

时间：2025-03-03 10:55:15

主机迁移服务 SMS

安全加固（可选）

修改sshd_config文件。

MaxAuthTries 6
LoginGraceTime 60
PasswordAuthentication no

禁用history。
1. 打开终端，输入以下命令
```
sudo nano ~/.bashrc
```
2. 在文件末尾添加以下内容
```
unset HISTFILE
```
3. 保存并退出后输入以下命令生效
```
source ~/.bashrc
```
防止暴力破解。

可以在/etc/pam.d/password-auth中设置，HCE系统中默认设置为
```
auth sufficient pam_faillock.so authsucc audit deny=3 even_deny_root unlock_time=60
```
表示使用pam_faillocl模块，如果登录失败3次，即使是root用户，锁定30s。
设置密码复杂度。

在/etc/pam.d/system-auth中找到password requisite pam_pwquality.so try_first_pass~~~~，在后面添加enforce_for_root minlen=8 ucredit=-1 lcredit=-1 dcredit=-1 ocredit=-1，如下：
```
password requisite pam_pwquality.so try_first_pass local_users_only enforce_for_root minlen=8 ucredit=-1 lcredit=-1 dcredit=-1 ocredit=-1
```
修改umask。umask是一个用于设置文件和目录默认权限的命令，umask中的值需要修改成027。
1. 打开终端并输入以下命令打开.bashrc文件
```
nano ~/.bashrc
```
2. 在文件的末尾添加
```
umask 027
```
3. 保存并关闭文件，然后输入以下命令使更改生效。
```
source ~/.bashrc
```
删除系统残留工具，系统残留工具会增加系统的攻击面，并误导安全软件。

在操作系统中查看是否存在如下应用（包括但不限于）：
- tcpdump，sniffer，wireshark，Netcat，基于winPcap开发的其他嗅探工具等。
- gdb，strace，readelf，cpp，gcc，dexdump，mirror，JDK等开发和调试工具及其他仅在调试阶段使用的自研工具或脚本。