对CentOS7进行账户和登录方面的安全加固

一、用户账户安全加固

1、修改用户密码策略

修改编辑配置文件：vi /etc/login.defs,修改如下配置：
PASS_MAX_DAYS        90#用户的密码不过期最多的天数, 99999:永久有期；对login.defs文件修只影响后续建立的用户,如果要改变以前建立的用户的有效期等可以使用chage命令
PASS_MIN_DAYS        0#密码修改之间最小的天数,0可修改,非0多少天后可修改
PASS_MIN_LEN         8#密码最小长度
PASS_WARN_AGE        7#密码失效前多少天在用户登录时通知用户修改密码

2、锁定或删除系统中与服务运行运维无关的用户
（1）查看系统中的用户并确定无用的用户
more /etc/passwd
（2）锁定不使用的账户（锁定或删除用户根据自己的需求操作即可）
锁定不使用的账户：
usermod -L username
或删除不使用的账户：
userdel -f username
（3）回退操作
用户锁定后，当使用时可解锁锁定，解除锁定命令为：
usermod -U username

3、锁定或删除系统中不使用的组
（1）查看系统中的组并确定不使用的组
cat /etc/group
（2）锁定或删除不使用的组
锁定不使用的组：
修改组配置文件/etc/group，在不使用的组前加“#”注释掉该组即可
删除不使用的组：
groupdel groupname

4、限制密码的最小长度 参考：https://blog.csdn.net/yang18600/article/details/122215038
vi /etc/pam.d/system-auth 添加：minlen=8

password    requisite     pam_pwquality.so try_first_pass local_users_only retry=3authtok_type=
password    requisite     pam_pwquality.so minlen=8 try_first_pass local_users_only retry=3authtok_type=

二、用户登录安全设置

1、设置避免SSH连接超时自动断开
（1）、修改前备份ssh配置文件/etc/ssh/sshd_config
cp /etc/ssh/sshd_config /etc
（2）、修改ssh服务配置文件
编辑vi /etc/ssh/sshd_config
“#ClientAliveInterval 0” 修改为“ClientAliveInterval 180” 去掉注释，改数字
“#ClientAliveCountMax 3” 修改为“ClientAliveCountMax 3” 去掉注释
注：这样连接centos7长时间不操作，不会因连接超时中断了；并不是超过这个时间，中断登录。参考：https://blog.csdn.net/libaineu2004/article/details/83857779
（3）、修改完成后重启ssh服务
systemctl restart sshd.service
（4）、回退操作
cp /etc/sshd_config /etc/ssh/sshd_config

2、设置当用户连续登录失败三次，锁定用户10分钟 参考：https://blog.csdn.net/captain525/article/details/88045767
（1）、锁定通过ssh协议登录的用户
编辑vi /etc/pam.d/sshd文件，在第一行下即#%PAM-1.0的下面添加：

auth required pam_tally2.so deny=3unlock_time=600 per_user reset

（2）、锁定通过tty终端登录的用户
编辑vi /etc/pam.d/login文件，在第一行下即#%PAM-1.0的下面添加：

auth required pam_tally2.so deny=3unlock_time=600 per_user reset

3、设置用户不能使用最近五次使用过的密码 参考：https://www.jianshu.com/p/1c7bd44caa38/
vi /etc/pam.d/system-auth, 增加一行

password    requisite     pam_pwhistory.so use_authtok remember=5retry=3

4、设置登录系统账户超时自动退出登录
（1）、修改系统环境变量配置文件/etc/profile，在文件的末尾加入“TMOUT=1800”，使登录系统的用户三十分钟不操作系统时自动退出登录。
echo TMOUT=1800 >>/etc/profile
（2）、使配置生效
source /etc/profile

5、禁止root用户远程登录（部署最后操作，否则无法远程连接root用户）
（1）、修改ssh服务配置文件不允许root用户远程登录
编辑/etc/ssh/sshd_config找到“#PermitRootLogin yes”去掉注释并修改为“PermitRootLogin no”
vi /etc/ssh/sshd_config
（2）、修改完成后重启ssh服务
systemctl restart sshd.service