centos 登录超时?centos7密码正确却无法登录
各位老铁们,大家好,今天由我来为大家分享centos 登录超时,以及centos7密码正确却无法登录的相关问题知识,希望对大家有所帮助。如果可以帮助到大家,还望关注收藏下本站,您的支持是我们最大的动力,谢谢大家了哈,下面我们开始吧!
【史上最全】centOS/Linux系统安全加固方案手册
史上最全 CentOS/Linux系统安全加固指南
针对 CentOS 8.1版本,以下是一系列详细的系统安全强化措施,其他版本可参考执行:
1.账号和口令安全
1.1删除或锁定无用账号
执行:`userdel`删除不必要的账号,`passwd-l`锁定,`passwd-u`解锁。
1.2检查特殊账号
检查空口令和 root权限,通过 `awk`命令进行筛选并锁定异常账号。
1.3添加口令策略
修改 `/etc/login.defs`和 `/etc/pam.d`文件,设置复杂度限制和输错次数锁定。
1.4限制 su到 root
编辑 `/etc/pam.d/su`,限制特定用户对 root的权限。
1.5禁止 root直接登录
创建新用户并限制 root登录,修改 SSH配置。
1.6 SSH认证限制
限制 SSH登录尝试次数,修改 `/etc/ssh/sshd_config`。
2.服务安全
2.1关闭非必要服务
使用 `systemctl`或 `chkconfig`禁止开机启动。
2.2 SSH安全加固
修改 SSH配置,包括禁止 root登录、协议版本、错误次数和 IP访问。
2.3 selinux权限
禁用 selinux,设置核心转储限制。
2.4删除 rpcgen工具
检查并移除可能存在的 rpcgen工具。
2.5记录登录事件
启用审计规则,记录登录和登出信息。
3.文件系统与umask
3.1设置 umask
修改 `/etc/profile`,设置默认 umask为 027。
3.2登录超时
设置 `/etc/profile`中的 TMOUT为 180秒。
3.3配置 grub.cfg权限
限制/boot/efi/EFI/centos/grub.cfg的权限为 600。
4.日志管理
4.1 syslogd日志
启用默认日志并配置详细记录。
4.2记录用户操作日志
在 `/etc/profile`中编写脚本,记录用户操作到指定目录。
4.3安全组件日志
调整 SSH和日志服务设置,确保记录详细信息。
5.内核升级
定期执行内核升级,确保系统安全补丁。
Centos下限制SSH登录次数详解
应公司内部网站等级测评的需求,正逐渐加强系统安全防护。
设备默认 3次验证失败自动退出,并且结束会话;网络登录连接超时自动退出时间 5分钟;
第一种方法:已验证。
1.ssh超时时间设置
# cd/etc/profile.d/#创建两个空白文件autologout.csh、autologout.sh用来保存TMOUT配置
# touch autologout.csh
# touch autologout.sh
# vi autologout.sh#编辑autologout.sh
#auto out in 5 minutes
TMOUT=300#超时时间,单位为s
readonly TMOUT#设置TMOUT变量只读
export TMOUT#设置环境TMOUT
# vi autologout.csh#编辑autologout.csh
set-r autologout 2
# chmod+x autologout.*#可执行权限,其实单给u+x就行了。
断开Client,重新登录终端5分钟不使用ssh就会自动断开连接.
2.ssh认证次数限制:
/etc/ssh/sshd_config
MaxAuthTries=3这仅是超过3次验证错误断开连接。
第二种方法:(试验中还是有问题出现)
原理:通过系统的pam认证实现。
1.备份/etc/pam.d/system_auth文件,更改:
#%PAM-1.0
# This file is auto-generated.
# User changes will be destroyed the next time authconfig is run.
auth required pam_env.so
auth required pam_unix.so nullok try_first_pass将原来的sufficient改为required
#auth requisite pam_succeed_if.so uid>= 500 quiet注释掉此行
auth required pam_tally.so deny=3unlock_time=300增加一行,失败超过3次限制5分钟后登录
#auth required pam_deny.so注释掉此行
account required pam_unix.so
account sufficient pam_succeed_if.so uid<500 quiet
account required pam_permit.so
account required pam_tally2.so增加一行
password requisite pam_cracklib.so try_first_pass retry=3
password sufficient pam_unix.so md5 shadow nullok try_first_pass use_authtok
password required pam_deny.so
session optional pam_keyinit.so revoke
session required pam_limits.so
session [success=1default=ignore] pam_succeed_if.so service in crond quiet use_uid
session required pam_unix.so
2.建议sshtest帐户,进行密码错误登录验证。查看tail/var/log/secure|grep sshtest记录:
Feb 22 15:21:11 SN524 sshd[4900]: Failed password for sshtest from 192.168.40.130 port 53995 ssh2
Feb 22 15:21:17 SN524 sshd[4900]: pam_tally(sshd:auth): user sshtest(503) tally 7, deny 3
Feb 22 07:21:19 SN524 sshd[4903]: Disconnecting: Too many authentication failures for sshtest
Feb 22 15:21:19 SN524 sshd[4900]: Failed password for sshtest from 192.168.40.130 port 53995 ssh2
Feb 22 15:22:05 SN524 sshd[4906]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=192.168.40.130 user=sshtest
帐户已被锁住,无法登录,等待5分钟后才能重新登录.
3.限制SSH过期时间:
/etc/ssh/sshd_config
ClientAliveInterval 60
ClientAliveCountMax 60
centos7+tomcat登陆超时
在工作中开发找到说,项目日志访问域名报错,报错如下:
这是第二次遇到的报错,所以把它记录下来,在服务器curl是另外一种结果,服务器结果如下:
经过第一次的经验就知道,本机的jdk是不信任你这域名的,然后我将这个域名的私钥证书,就是.crt结尾的证书转换成.cer结尾的证书,进行导入到本机jdk里面就可以实现程序的信任了,好了话不多说操作如下。
1.拿到私钥证书之后,使用ie浏览器导入到浏览里面。
找到你的私钥证书
选择你的组
这就是导入成功了。
开始导出.cer结尾的证书,选择你导入证书的组然后点击导出来
选择你要导出的证书编码类型
选择要导出的位置以及导出证书的名字
导出完成。
得到了一个后缀为.cer结尾的证书。然后接下来导入到我们需要的服务器jdk中即可
2.liunx导入证书的命令为如下(本片文章jdk是以yum安装的jdk为主导入的):
(1)找打jdk安装的目录
# pwd
/usr/lib/jvm/java-1.8.0-openjdk-1.8.0.312.b07-1.el7_9.x86_64/jre/lib/securi
(2)上传要导入的证书
(3)进入jdk安装目录,然后进行导入证书
#导入证书命令
# keytool-import-trustcacerts-alias tomcat-file/home/cert/111.cer-keystore"/usr/lib/jvm/java-1.8.0-openjdk-1.8.0.312.b07-1.el7_9.x86_64/jre/lib/security/cacerts"-storepass changeit
#删除证书命令
# keytool-delete-alias server-keystore D:\jdk1.6.0\jre\lib\security\cacerts-storepass changeit
这样再用程序调用这域名就不会报超时了。
