用户相关
Windows
-
微软账户密码:使用强密码(超过8位,各种字符,建议记住一个随机字符串)
-
入口登录方式:如PIN,使用强密码(随机值)
Linux
ssh
登录次数限制
限制用户尝试次数,超过该次数则锁定:
1
2
3
4
5
6
7
# /etc/pam.d/system-auth
# /etc/pam.d/password-auth
auth required pam_tally2.so deny=3 even_deny_root unlock_time=600 onerr=fail
account required pam_tally2.so
# 或者
# /etc/pam.d/sshd 第1行:
auth required pam_tally2.so deny=3 unlock_time=3600 even_deny_root root_unlock_time=3600
登录用户限制(ssh配置文件)
禁止root用户登录,其他用户仅允许公私钥登录:
1
2
3
4
5
6
# /etc/ssh/sshd_config
PermitRootLogin no
PubkeyAuthentication yes
PermitEmptyPasswords no
PasswordAuthentication no
ChallengeResponseAuthentication no
温馨提示:修改完ssh配置后记得重启sshd服务:
1
sudo systemctl restart sshd
清理公私钥
1
~/.ssh/authorized_keys
尤其要关注/root/.ssh/authorized_keys
密码强度
-
root用户使用超强密码并限制登录
-
各个具有sudo权限的用户使用强密码
-
其他用户尽可能使用强密码
清理不必要用户
1
2
vim /etc/passwd # 使用/1\d\d\d搜索
sudo userdel -r <username>
限制用户sudo权限
1
2
# sudo visudo #最后一行
<username> ALL=(root) NOPASSWD:/usr/bin/tcpreplay,/usr/bin/tcpreplay-edit,/usr/sbin/tcpdump
防火墙
开启并配置防火墙
Linux
firewalld
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
# 开启
sudo systemctl start firewalld.service
sudo systemctl enable firewalld.service
# 配置
sudo firewall-cmd --list-all #查看
sudo firewall-cmd --permanent --zone=public --add-port=22/tcp #ssh
sudo firewall-cmd --permanent --zone=public --add-port=443/tcp #https
sudo firewall-cmd --permanent --zone=public --add-port=445/tcp #smb
sudo firewall-cmd --permanent --zone=public --remove-service=http
sudo firewall-cmd --permanent --zone=public --remove-service=mysql
sudo firewall-cmd --reload
iptables
TODO
Windows
开启:控制面板-系统和安全-Windows Defender防火墙-启用或关闭Windows Defender防火墙-专用网络设置和公用网络设置-启用Windows Defender防火墙-确定
配置:控制面板-系统和安全-Windows Defender防火墙-高级设置-入站规则-开启需要的端口(如21/TCP等)