1) /etc/shadow 文件存储着用户的密码和与之相关的信息
2) /etc/shadow 文件以冒号 “:” 作为分隔符，分类 8 段

内容二：/etc/shadow 文件的作用

2.1 第 1 段内容：用户名

/etc/shadow 文件的第 1 段存储的是用户名，和 /etc/passwd 文件中的用户名是一一对应的

2.2 第 2 段内容：密码

2.2.1 内容的含义

1) 如果是奇怪的字符串则代表是加密过的密码，格式是 $id$salt$hashed，其中 $id 是指加密算法。如果字符串：以 $1$ 开头则代表是用 MD5 加密，以 $2a$ 开头则代表是用 Blowfish 加密，以 $2y$ 开头则代表是用另一种算法长度的 Blowfish 加密，以 $5$ 开头则代表是用 SHA-256 加密，以 $6$ 开头则代表是用 SHA-512 加密
2) 如果是 2 个感叹号 “!!” 则代表从来都没有设置过密码
3) 如果为空则代表没有设置密码
4) 如果是 1 个星号 “*” 则代表用户被锁定，但是其它登陆方式不受限制，例 SSH 登陆
5) 如果是 1 个感叹号 “!” 则代表用户被锁定，但是其它登陆方式不受限制，例 SSH 登陆
6) 如果以 1 个感叹号开头 “!” 则代表用户被锁定
7) 如果以 2 个感叹号开头 “!!” 则代表用户被锁定

2.2.2 查看命令

# cut -d: -f1,7

2.2.3 修改命令

# passwd <user>

2.3 第 3 段内容：密码最后的修改日期

2.3.1 内容的含义

密码最后修改的日期于 1970 年 1 月 1 日相距的天数

2.3.2 查看命令

# egrep ^[^:]+:[^\!*] /etc/shadow | cut -d: -f1,3

或者：

# chage -l <user> | grep 'Last password change'

2.3.3 修改命令

# chage -d <date> <user>

或者：

# chage --lastday <date> <user>

2.4 第 4 段内容：修改密码最短天数间隔

2.4.1 内容的含义

两次修改密码最短天数间隔

1) 如果是 0 则代表随时可以修改密码
2) 如果是 99999 则代表永远都不能修改密码

2.4.2 查看命令

# egrep ^[^:]+:[^\!*] /etc/shadow | cut -d: -f1,4

或者：

# chage -l <user> | grep 'Minimum number of days between password change'

2.4.3 修改命令

# chage -m <days> <user>

或者：

# chage --mindays <days> <user>

2.5 第 5 段内容：密码过期的天数

2.5.1 内容的含义

修改密码后过多少天会过期

1) 如果是 99999 则代表永远都不会过期
2) 如果密码只是过期但是没有失效的话，则可以使用过期的密码更改密码再使用新密码登陆，如果密码失效的话则此密码不能再使用

2.5.2 查看命令

# egrep ^[^:]+:[^\!*] /etc/shadow | cut -d: -f1,5

或者：

# chage -l <user> | grep 'Maximum number of days between password change'

2.5.3 修改命令

# chage -M <days> <user>

或者：

# chage --maxdays <days> <user>

2.6 第 6 段内容：密码过期前提前多少天发出警告

2.6.1 内容的含义

密码过期前，提前多少天发出警告

如果为空则代表不发出警告

2.6.2 查看命令

# egrep ^[^:]+:[^\!*] /etc/shadow | cut -d: -f1,6

或者：

# chage -l <user> | grep 'Number of days of warning before password expires'

2.6.3 修改密码

# chage -W <days> <user>

或者：

# chage --warndays <days> <user>

2.7 第 7 段内容：密码失效的天数

2.7.1 内容的含义

密码过期后过多少天会失效

1) 如果是 99999 则代表永远都不会失效
2) 如果密码只是过期但是没有失效的话，则可以使用过期的密码更改密码再使用新密码登陆，如果密码失效的话则此密码不能再使用

2.7.2 查看命令

# egrep ^[^:]+:[^\!*] /etc/shadow | cut -d: -f1,7

或者：

# chage -l <user> | grep 'Password inactive'

2.7.3 修改密码

# chage -I <days> <user>

或者：

# chage --inactive <days> <user>

2.8 第 8 段内容：用户的失效日期

2.8.1 内容的含义

用户的失效日期于 1970 年 1 月 1 日相距的天数

2.8.2 查看命令

# egrep ^[^:]+:[^\!*] /etc/shadow | cut -d: -f1,8

或者：

# chage -l <user> | grep 'Account expires'

2.8.3 修改密码

# chage -E <date> <user>

或者：

# chage --expiredate <date> <user>

2.9 第 9 段内容：保留

这是一个保留位，目前没有作用

RHEL 8 的 SSH 加密算法默认会使用来自 crypto policies 系统的全局 SSH 加密算法，而此方法将让 SSH 使用单独设置的 SSH 加密算法。

正文：

步骤一：启用 SSH 加密算法

1.1 备份 /etc/sysconfig/sshd 配置文件

# cp /etc/sysconfig/sshd /etc/sysconfig/sshd_backup

1.2 修改 /etc/sysconfig/sshd 配置文件

# vim /etc/sysconfig/sshd

将以下内容：

# CRYPTO_POLICY=

修改为：

CRYPTO_POLICY=

步骤二：设置 SSH 的加密算法

2.1 在 /etc/crypto-policies/back-ends/opensshserver.config 配置文件中确认要使用的 SSH 加密算法属性

2.1.1 修改 /etc/crypto-policies/back-ends/opensshserver.config 配置文件

# vim /etc/crypto-policies/back-ends/opensshserver.config

添加需要使用的 SSH 加密算法属性：

（内容略）

（注意：如果需要使用的 SSH 加密算法已包含在其中了则可以不用添加）

2.1.2 显示目前正在被使用的 SSH 加密算法

# printf "%s\n" $(source /etc/crypto-policies/back-ends/opensshserver.config; echo $CRYPTO_POLICY) | cut -c3-
Ciphers=aes256-gcm@openssh.com,chacha20-poly1305@openssh.com,aes256-ctr,aes256-cbc,aes128-gcm@openssh.com,aes128-ctr,aes128-cbc
MACs=hmac-sha2-256-etm@openssh.com,hmac-sha1-etm@openssh.com,umac-128-etm@openssh.com,hmac-sha2-512-etm@openssh.com,hmac-sha2-256,hmac-sha1,umac-128@openssh.com,hmac-sha2-512
GSSAPIKexAlgorithms=gss-curve25519-sha256-,gss-nistp256-sha256-,gss-group14-sha256-,gss-group16-sha512-,gss-gex-sha1-,gss-group14-sha1-
KexAlgorithms=curve25519-sha256,curve25519-sha256@libssh.org,ecdh-sha2-nistp256,ecdh-sha2-nistp384,ecdh-sha2-nistp521,diffie-hellman-group-exchange-sha256,diffie-hellman-group14-sha256,diffie-hellman-group16-sha512,diffie-hellman-group18-sha512,diffie-hellman-group-exchange-sha1,diffie-hellman-group14-sha1
HostKeyAlgorithms=ecdsa-sha2-nistp256,ecdsa-sha2-nistp256-cert-v01@openssh.com,ecdsa-sha2-nistp384,ecdsa-sha2-nistp384-cert-v01@openssh.com,ecdsa-sha2-nistp521,ecdsa-sha2-nistp521-cert-v01@openssh.com,ssh-ed25519,ssh-ed25519-cert-v01@openssh.com,rsa-sha2-256,rsa-sha2-256-cert-v01@openssh.com,rsa-sha2-512,rsa-sha2-512-cert-v01@openssh.com,ssh-rsa,ssh-rsa-cert-v01@openssh.com
PubkeyAcceptedKeyTypes=ecdsa-sha2-nistp256,ecdsa-sha2-nistp256-cert-v01@openssh.com,ecdsa-sha2-nistp384,ecdsa-sha2-nistp384-cert-v01@openssh.com,ecdsa-sha2-nistp521,ecdsa-sha2-nistp521-cert-v01@openssh.com,ssh-ed25519,ssh-ed25519-cert-v01@openssh.com,rsa-sha2-256,rsa-sha2-256-cert-v01@openssh.com,rsa-sha2-512,rsa-sha2-512-cert-v01@openssh.com,ssh-rsa,ssh-rsa-cert-v01@openssh.com
CASignatureAlgorithms=ecdsa-sha2-nistp256,ecdsa-sha2-nistp384,ecdsa-sha2-nistp521,ssh-ed25519,rsa-sha2-256,rsa-sha2-512,ssh-rsa

（补充：这里以显示 RHEL8 默认使用的 SSH 加密算法为例）

2.2 在 /etc/ssh/sshd_config 配置文件中设置要使用的 SSH 加密算法

2.2.1 备份 /etc/ssh/sshd_config 配置文件

# cp /etc/ssh/sshd_config /etc/ssh/sshd_config_backup

2.2.2 在 /etc/ssh/sshd_config 配置文件中添加要使用的 SSH 加密算法

# vim /etc/ssh/sshd_config

添加以下内容：

......
Ciphers aes256-ctr,aes192-ctr,aes128-ctr
MACs hmac-sha2-512,hmac-sha2-256
KexAlgorithms ecdh-sha2-nistp521,ecdh-sha2-nistp384,ecdh-sha2-nistp256,diffie-hellman-group-exchange-sha256

（
补充：这里以使用：
1) aes256-ctr、aes192-ctr 和 aes128-ctr SSH Ciphers 加密算法
2) hmac-sha2-512 和 hmac-sha2-256 SSH MACs 加密算法
3) ecdh-sha2-nistp521、ecdh-sha2-nistp384、ecdh-sha2-nistp256 和 diffie-hellman-group-exchange-sha256 SSH KexAlgorithms 加密算法
为例
）

2.2.3 让在 /etc/ssh/sshd_config 配置文件中添加要使用的 SSH 加密算法生效

# systemctl restart sshd

步骤三：测试 SSH 加密算法

3.1 测试 SSH Ciphers 加密算法

3.1.1 测试某个 SSH Ciphers 加密算法

# ssh -vv -oCiphers=3des-cbc -oPort=22 192.168.0.1

（补充：这里以测试 IP 地址是 192.168.0.1，端口号是 22，有没有启用 3des-cbc SSH Ciphers 加密算法为例）

3.1.2 测试多个 SSH Ciphers 加密算法

# ssh -vv -oCiphers=3des-cbc,aes128-cbc,aes192-cbc,aes256-cbc -oPort=22 192.168.0.1

（补充：这里以测试 IP 地址是 192.168.0.1，端口号是 22，有没有启用 3des-cbc、aes128-cbc、aes192-cbc 和 aes256-cbc SSH Ciphers 加密算法为例）

3.2 测试 SSH MACs 加密算法

3.2.1 测试某个 SSH Ciphers 加密算法

# ssh -vv -oMACs=hmac-md5 -oPort=22 192.168.0.1

（补充：这里以测试 IP 地址是 192.168.0.1，端口号是 22，有没有启用 hmac-md5 SSH MACs 加密算法为例）

3.2.2 测试多个 SSH Ciphers 加密算法

# ssh -vv -oMACs=hmac-md5,hmac-md5-96,hmac-sha1,hmac-sha1-96,hmac-md5-etm@openssh.com,hmac-md5-96-etm@openssh.com -oPort=22 192.168.0.1

（补充：这里以测试 IP 地址是 192.168.0.1，端口号是 22，有没有启用 hmac-md5、hmac-md5-96、hmac-sha1、hmac-sha1-96、hmac-md5-etm@openssh.com 和 hmac-md5-96-etm@openssh.com SSH MACs 加密算法为例）

在给 nftables 防火墙的策略文件添加规则前，要先使用 nftables 防火墙的策略文件：

正文：

案例一：允许某个 IP 地址访问某个端口

ip saddr 192.168.0.1 tcp dport ssh accept

或者：

ip saddr 192.168.0.1 tcp dport 22 accept

（补充：这里以允许 IP 地址 192.168.0.1 访问 22 端口为例）

案例二：允许某个 IP 地址访问多个端口

ip saddr 192.168.0.1 tcp dport {22,80,443,3306} accept comment "accept local port"

（补充：这里以允许 IP 地址 192.168.0.1 访问 22 端口、80 端口、443 端口和 3066 端口为例）

案例三：允许多个 IP 地址访问多个端口

ip saddr {192.168.0.1,192.168.0.2,192.168.0.3} tcp dport {22,80,443,3306} accept comment "accept local port"

（补充：这里以允许 IP 地址 192.168.0.1、192.168.0.2 和 192.168.0.3 访问 22 端口、80 端口、443 端口和 3066 端口为例）

案例四：拒绝所有 IP 地址访问多个端口

tcp dport {22,80,443,3306} drop comment "drop remote port"

（补充：这里以拒绝所有 IP 地址的 22 端口、80 端口、443 端口和 3306 端口为例）

1.1 把用户添加到组里

1.1.1 把某个用户添加到某个组

# gpasswd -a <user> <group>

或者：

# gpasswd –add <user> <group>

或者：

# gpasswd -M <group>

或者：

# gpasswd –members <group>

1.1.2 把多个用户添加到某个组

# gpasswd -a <user1>,<user2> <group>

或者：

# gpasswd –add <user1>,<user2> <group>

或者：

# gpasswd -M <user1>,<user2> <group>

或者：

# gpasswd –members <user1>,<user2> <group>

2.2 把用户从组里删除

2.2.1 把某个用户从某个组里删除

# gpasswd -d <user> <group>

或者：

# gpasswd –delete <user> <group>

2.2.2 把多个用户添加到某个组

# gpasswd -d <user1>,<user2> <group>

或者：

# gpasswd –delete <user1>,<user2> <group>

2.3 将某个用户设置为组的管理员

# gpasswd -A <user> <group>

或者：

# gpasswd –administrators <user> <group>

内容三：组的密码管理

3.1 给某个组设置密码

# gpasswd <group>

3.2 删除某个组的密码

# gpasswd –r <group>

或者：

# gpasswd –remove-password <group>

内容四：组的登录管理

限制某个组登录

# gpasswd -R <group>

或者：

# gpasswd –restrict <group>

内容五：显示帮助信息

# gpasswd -h

或者：

# gpasswd -help

1.1 profile 全局文件的位置 （影响所有用户）

/etc/profile

1.2 profile 局部文件的位置 （只影响单个用户）

~/.bash_profile

或者：

~/.bash_login

或者：

~/.profile

1.3 profile 文件的作用

在用户登录时设置用户的环境变量，只在用户登录时才会生效

1.4 登录 Linux 时执行 profile 文件的顺序

第一步，执行：

/etc/profile

第二步，按以下顺序一一尝试执行以下 3 个文件中的 1 个，当执行成功后则停止尝试下 1 个文件：

~/.bash_profile
~/.bash_login
~/.profile

第三步：开始调用解释器

（如果是调用 bash 解释器，则继续执行登录 bash 时执行 bashrc 文件的顺序）

内容二：bashrc 文件

2.1 bashrc 全局文件的位置 （影响所有用户）

/etc/bashrc

或者：

/etc/bash.bashrc

2.2 bashrc 局部文件的位置 （只影响单个用户）

~/.bashrc

2.3 bashrc 文件的作用

在用户使用 bash 解释器或登录 bash 解释器时设置用户的环境变量，每次调用 bash 解释器时都会生效

2.4 使用 bash 或登录 bash 时执行 bashrc 文件的顺序

第一步，执行以下 2 个文件中的 1 个：

/etc/bashrc
/etc/bash.bashrc

第二步，执行：

~/.bashrc

黑客在入侵前往往会先对整个网络进行扫描，尝试发现我们的系统。在这个阶段我们可以尝试的防范措施有：

1) 关闭 ICMP 协议，让黑客无法通过 ping 发现我们的系统
2) 关闭所有不需要的端口
3) 通过防火墙只让允许访问的 IP 地址访问对应的端口
4) 让防火墙使用 drop 操作丢掉所有没有被允许的访问请求

黑客列举阶段和黑客立足阶段

黑客在发现了我们的系统之后。会根据我们系统和软件的版本，列举不同的破解方法并进行取舍，并最终会选择一种或多种方法进行尝试。在这两个阶段我们可以尝试的防范措施有：

1) 不使用盗版的系统和软件
2) 不使用有漏洞的系统和软件
3) 尽量将所有的系统和软件升级到最新的版本
4) 删除所有非必须的软件
5) 在用户尝试登录系统时，取消显示系统的版本
6) 删除或禁用所有不需要的用户
7) 让所有的用户都使用复杂的密码
8) 定期检查和修改所有用户的密码
9) 定期检查和修改所有用户 ~/.ssh/ 目录中的密钥
10) 限制错误密码尝试的次数，以防止暴力破解
11) 定期检查系统防火墙策略
12) 定期检查系统开启的所有端口
13) 定期检查系统开启的所有进程
14) 定期查看 /var/log/message 中的尝试登录失败的日志记录

黑客保持持久性阶段

黑客在成功进入系统以后，会尝试为自己下次进入系统准备方法，以让入侵保持持久性。在这个阶段我们可以尝试的防范措施有：

1) 定期检查系统中的所有用户的名称和数量
2) 定期检查系统中所有拥有 root 权限的名称和数量
3) 定期检查和修改所有用户的密码
4) 定期检查和修改所有用户 ~/.ssh/ 目录中的密钥
5) 定期检查系统防火墙策略
6) 定期检查系统开启的所有端口
7) 定期检查系统开启的所有进程
8) 缩小重要文件的权限
9) 定期检查所有用户的登录日志
10) 通过 auditd 服务监控所有重要配置文件，并定期检查监控日志

黑客掩盖痕迹阶段

黑客让入侵保持持久性后，会尝试掩盖自己的痕迹。在这个阶段我们可以尝试的防范措施有：

1) 定期检查系统中的所有用户的名称和数量
2) 定期检查系统中所有拥有 root 权限的名称和数量
3) 定期检查和修改所有用户的密码
4) 定期检查和修改所有用户 ~/.ssh/ 目录中的密钥
5) 定期检查系统防火墙策略
6) 定期检查系统开启的所有端口
7) 定期检查系统开启的所有进程
8) 缩小重要文件的权限
9) 定期检查所有用户的登录日志，注意日志的时间是否连贯
10) 通过 auditd 服务监控所有重要配置文件，并定期检查监控日志，注意日志的时间是否连贯

步骤一：让 sshd 使用可插入身份验证模块

1.1 修改 sshd 的配置文件

# vim /etc/ssh/sshd_config

将以下内容：

......
#UsePAM no
......

修改为：

......
UsePAM yes
......

1.2 让修改的 sshd 配置文件生效

# systemctl restart sshd

步骤二：让本地登录和 sshd 登录使用密码认证

2.1 确认 /etc/pam.d/login 配置文件

# cat /etc/pam.d/login | grep system-auth

确保包含以下内容：

auth       substack     system-auth
account    include      system-auth
password   include      system-auth
session    include      system-auth

2.2 确认 /etc/pam.d/sshd 配置文件

# cat /etc/pam.d/sshd | grep password-auth

确保包含以下内容：

auth       substack     password-auth
account    include      password-auth
password   include      password-auth
session    include      password-auth

步骤三：在 /etc/pam.d/system-auth-ac 配置文件中添加 pam_tally2.so 模块和相关参数

# vim /etc/pam.d/system-auth-ac

添加以下内容：

......
auth required pam_tally2.so onerr=fail audit silent deny=15 unlock_time=3000 even_deny_root root_unlock_time=3000

（
补充：
1) 这里的 pam_tally2.so 代表使用 pam_tally2.so 模块
2) 这里的 silent 代表不会显示信息性的消息
3) 这里的 deny=15 代表输错 15 次后会禁止登录
4) 这里的 unlock_time=3000 代表禁止登录后 3000 毫秒后可以重新登录
5) 这里的 even_deny_root 代表 root 用户和其它用户一样会被锁住
6) 这里的 root_unlock_time=3000 代表禁止 root 用户登录后 3000 毫秒后可以重新登录
）

步骤四：在 /etc/pam.d/password-auth-ac 配置文件中添加 pam_tally2.so 模块和相关参数

# vim /etc/pam.d/password-auth-ac

添加以下内容：

......
auth required pam_tally2.so onerr=fail audit silent deny=15 unlock_time=3000 even_deny_root root_unlock_time=3000

（
补充：
1) 这里的 pam_tally2.so 代表使用 pam_tally2.so 模块
2) 这里的 silent 代表不会显示信息性的消息
3) 这里的 deny=15 代表输错 15 次后会禁止登录
4) 这里的 unlock_time=3000 代表禁止登录后 3000 毫秒后可以重新登录
5) 这里的 even_deny_root 代表 root 用户和其它用户一样会被锁住
6) 这里的 root_unlock_time=3000 代表禁止 root 用户登录后 3000 毫秒后可以重新登录
）

步骤五：部分用户输错密码次数限制的排除

5.1 在 /etc/pam.d/system-auth-ac 配置文件中添加 pam_succeed_if.so 模块和相关参数

# vim /etc/pam.d/system-auth-ac

在此行：

......
auth required pam_tally2.so onerr=fail audit silent deny=15 unlock_time=3000 even_deny_root root_unlock_time=3000

下面添加：

......
auth [success=1 default=ignore] pam_succeed_if.so user in mingyuzhu1:mingyuzhu2:mingyuzhu3

（补充：这里以排除用户 zhumingyu1、zhumingyu2 和 zhumingyu3 的输错密码次数限制为例）

5.2 在 /etc/pam.d/password-auth-ac 配置文件中添加 pam_succeed_if.so 模块和相关参数

# vim /etc/pam.d/password-auth-ac

在此行：

......
auth required pam_tally2.so onerr=fail audit silent deny=15 unlock_time=3000 even_deny_root root_unlock_time=3000

下面添加：

......
auth [success=1 default=ignore] pam_succeed_if.so user in mingyuzhu1:mingyuzhu2:mingyuzhu3

（补充：这里以排除用户 zhumingyu1、zhumingyu2 和 zhumingyu3 的输错密码次数限制为例）

参考文献：

https://access.redhat.com/solutions/62949

#  sysctl net.ipv4.ping_group_range="1 0"

步骤二：允许非 root 用户使用 ping

# sysctl net.ipv4.ping_group_range="0 2147483647"

补充：当禁止禁止非 root 用户使用 ping 时，非 root 用户使用 ping 命令的报错

如果是 Rocky Linux & RHEL：

ping: socket: Address family not supported by protocol

如果是 openSUSE & SLE：

Error: ping: socket: Operation not permitted

步骤一：让 sshd 使用可插入身份验证模块

1.1 修改 sshd 的配置文件

# vim /etc/ssh/sshd_config

将以下内容：

......
#UsePAM no
......

修改为：

......
UsePAM yes
......

1.2 让修改的 sshd 配置文件生效

# systemctl restart sshd

步骤二：让本地登录和 sshd 登录使用密码认证

2.1 确认 /etc/pam.d/login 配置文件

# cat /etc/pam.d/login | grep include

确保包含以下内容：

auth      include    common-auth
account   include    common-account
password  include    common-password
session   include    common-session

2.2 确认 /etc/pam.d/sshd 配置文件

# cat /etc/pam.d/sshd | grep include

确保包含以下内容：

auth        include     common-auth
account     include     common-account
password    include     common-password
session     include     common-session

步骤三：在 /etc/pam.d/common-auth-pc 配置文件中添加 pam_tally2.so 模块和相关参数

# vim /etc/pam.d/common-auth-pc

添加以下内容：

......
auth required pam_tally2.so onerr=fail audit silent deny=15 unlock_time=3000 even_deny_root root_unlock_time=3000

（
补充：
1) 这里的 pam_tally2.so 代表使用 pam_tally2.so 模块
2) 这里的 silent 代表不会显示信息性的消息
3) 这里的 deny=15 代表输错 15 次后会禁止登录
4) 这里的 unlock_time=3000 代表禁止登录后 3000 毫秒后可以重新登录
5) 这里的 even_deny_root 代表 root 用户和其它用户一样会被锁住
6) 这里的 root_unlock_time=3000 代表禁止 root 用户登录后 3000 毫秒后可以重新登录
）

步骤四：在 /etc/pam.d/common-account-pc 配置文件中添加使用 pam_tally2.so 模块和相关参数

# vim /etc/pam.d/common-account-pc

添加以下内容：

......
account required pam_tally2.so

（补充：这里的 pam_tally2.so 代表加载 pam_tally2.so 模块）

步骤五：用户登录失败的管理

5.1 查看某个用户近期输错了几次密码

# pam_tally2 -u <user>

5.2 重制某个用户登录密码输错次数

# pam_tally2 -u <user> -r --reset

步骤六：部分用户输错密码次数限制的排除

6.1 在 /etc/pam.d/common-auth-pc 配置文件中添加 pam_succeed_if.so 模块和相关参数

# vim /etc/pam.d/common-auth-pc

在此行：

......
auth required pam_tally2.so onerr=fail audit silent deny=15 unlock_time=3000 even_deny_root root_unlock_time=3000

下面添加：

......
auth [success=1 default=ignore] pam_succeed_if.so user in mingyuzhu1:mingyuzhu2:mingyuzhu3

（补充：这里以排除用户 zhumingyu1、zhumingyu2 和 zhumingyu3 的输错密码次数限制为例）

6.2 在 /etc/pam.d/common-account-pc 配置文件中添加 pam_succeed_if.so 模块和相关参数

# vim /etc/pam.d/common-account-pc

在此行：

......
auth required pam_tally2.so onerr=fail audit silent deny=15 unlock_time=3000 even_deny_root root_unlock_time=3000

下面添加：

......
auth [success=1 default=ignore] pam_succeed_if.so user in mingyuzhu1:mingyuzhu2:mingyuzhu3

（补充：这里以排除用户 zhumingyu1、zhumingyu2 和 zhumingyu3 的输错密码次数限制为例）

参考文献：

https://access.redhat.com/solutions/62949

# ls -ld /usr/local/bin /usr/local/sbin /usr/bin/ /usr/sbin
dr-xr-xr-x. 2 root root 53248 Jun 24 15:09 /usr/bin/
drwxr-xr-x. 3 root root  4096 Jun 21  2021 /usr/local/bin
drwxr-xr-x. 2 root root     6 Jun 21  2021 /usr/local/sbin
dr-xr-xr-x. 2 root root 20480 Jun 24 15:09 /usr/sbin

# lsof | more
COMMAND     PID   TID    USER   FD      TYPE             DEVICE  SIZE/OFF       NODE NAME
systemd       1          root  cwd       DIR              251,1      4096          1 /
......

内容二：lsof 命令输出结果简介

1) COMMAND 进程名
2) PID （Process Id） PID 号
3) USER 用户
4) FD 文件描述信息
（补充：cwd 代表当前目录，txt 代表 txt 文件，rtd 代表 root 目录，mem 代表内存映射文件）
5) TYPE 文件类型
（补充：DIR 代表当前目录，REG 代表普通文件，CHR 代表字符，a_inode 代表 Inode 文件，FIFO 代表管道或者 socket文件，netlink 代表网络，unkonwn 代表未知）
6) DEVICE 设备 ID
7) SIZE/OFF 进程大小
8) NODE 文件的 Inode 号
9) NAME 路径或链接

内容三：lsof 使用案例

3.1 案例一：显示已经被删除的文件

# lsof | grep deleted

3.2 案例二：显示用户已打开的案例

3.2.1 显示某用户已打开的文件

# lsof -u zhumingyu mingyuzhu

（补充：这里以显示用户 zhumingyu 和 mingyuzhu 已打开的文件为例）

3.2.2 不显示某用户已打开的文件

# lsof -u mingyuzhu

（补充：这里以不显示用户 mingyuzhu 已打开的文件为例）

3.3 案例三：显示进程已打开的文件

3.3.1 显示某进程已打开的文件

# lsof -p 1024

（补充：这里以显示 PID 号是 1024 已打开的文件为例）

3.3.2 不显示某进程已打开的所有文件

# lsof -p ^1024

（补充：这里以不显示 PID 号是 1024 已打开的文件为例）

3.3.3 显示某几个进程已打开的文件

# lsof -p 1,2,3

（补充：这里以显示 PID 号是 1、2 和 3 已打开的文件为例）

3.4 案例四：显示已打开的网络文件

3.4.1 显示所有已打开的网络文件

# lsof -i

3.4.2 显示所有 IPv4 协议已打开的文件

# lsof -i 4

3.4.3 显示所有 IPv6 协议已打开的文件

# lsof -i 6

3.4.4 显示所有 TCP 协议已打开的文件

# lsof -i TCP

3.4.5 显示所有 TCP 协议已打开的文件

# lsof -i UDP

3.4.6 显示某个 TCP 端口或者 UDP 端口已打开的文件

# lsof -i:22

（补充：这里以显示 TCP 或者 UPD 的 22 端口已打开的文件为例）

3.4.7 显示某个 TCP 端口已打开的文件

# lsof -i TCP:22

（补充：这里以显示 TCP 的 22 端口已打开的文件为例）

3.4.8 显示某几个 TCP 端口打开的文件

# lsof -i TCP:1-1024

（补充：这里以显示 TCP 的 1 端口到 1024 端口打开的文件为例）

# cat /etc/logrotate.conf
......
/var/log/wtmp {
    monthly
    create 0664 root utmp
        minsize 1M
    rotate 1
}
......

（
补充：
1) 影响的日志文件有 /var/log/wtmp （/var/log/wtmp）
2) 每月将现在的日志文件进行备份并生成新的日志文件 （monthly）
3) 日志文件权限是 0644 所属主是 root （create 0664 root utmp）
4) 只有当日志文件超过 1 M 时，且达到备份的时间才会开始备份
5) 备份的日志文件保留 5 份 （rotate 1）
）

如果是 openSUSE & SLE：

# cat /etc/logrotate.d/wtmp
/var/log/wtmp /var/log/btmp {
    compress
    dateext
    maxage 365
    rotate 99
    size=+400k
    notifempty
    missingok
    copytruncate
}

（
补充：
1) 影响的日志文件有 /var/log/wtmp 和 /var/log/btmp （/var/log/wtmp /var/log/btmp）
2) 对备份的日志文件进行压缩 （compress）
3) 将 YYYYMMDD 格式的时间作为备份日志文件名的一部分 （dateext）
4) 日志最多保存 365 天 （maxage 365）
5) 备份的日志文件保留 99 份 （rotate 99）
6) 现在的日志文件超过 400 k 就开始备份，不用考虑备份时间，且备份时间的相关设置也将无效 （size=+400k）
7) 如果现有日志文件是空文件，则不再对日志文件进行备份 （notifempty）
8) 如果现有日志文件丢失，则不报错直接生成新的日志文件 （missingok）
）

# vim /etc/sudoers

或者：

# visudo

添加以下内容：

......
Defaults use_pty

# vim /etc/sudoers

或者：

# visudo

添加以下内容：

......
Defaults logfile="/var/log/sudo.log"

步骤二：显示 sudo 日志

2.1 退出后重新登录

（步骤略）

2.2 显示 sudo 日志

# cat /var/log/sudo.log

基本信息

作者：朱明宇
名称：显示可以登录系统的用户 （以 1 行到形式显示）
作用：显示可以登录系统的用户 （以 1 行到形式显示）

使用方法

1. 给此脚本添加执行权限
2. 执行此脚本

脚本

#!/bin/bash

userlist=
n=`cat /etc/passwd | wc -l`
i=1

while [ $i -le $n ]
do
	line=`sed -n "$[i]p" /etc/passwd`
	echo $line | egrep "nologin$|false$" &> /dev/null
	if [ $? -ne 0 ];then
                userlist="$userlist `echo $line | awk -F: '{print $1}'`"
	fi
	let i++
done

echo $userlist

如果在系统中没有 /etc/cron.deny 配置文件，在 /etc/cron.allow 配置文件中添加要使用 crontab -e 命令的用户

# vim /etc/cron.allow

添加以下内容：

......
zhumingyu

（补充：这里以添加用户 zhumingyu 为例）

如果在系统中没有 /etc/cron.allow 配置文件，在 /etc/cron.allow 配置文件中删除要使用 crontab -e 命令的用户

# vim /etc/cron.allow

删除以下内容：

......
zhumingyu
......

（补充：这里以删除用户 zhumingyu 为例）

系统运行的 kernel 内核已经被删除，此 kernel 内核相关的文件集都已经被删除，包括 ko 文件。安装新版本的 kernel 内核，并重启选择新版本的 kernel 内核，就能修复相关 kernel 内核文件集。

解决方法

步骤一：更新 kernel 内核

如果是 Rocky Linux & RHEL：

# yum update kernel*

如果是 openSUSE & SLE：

# zypper update kernel*

步骤二：重启系统

# reboot

# cat /etc/group

（注意：此方法并不能显示出把这些所属组当作主要所属组的用户）

方法二：通过 /etc/passwd 配置文件和 id 命令等显示主要所属组和附属所属组

# for i in `cat /etc/passwd | egrep -v "nologin$|false$|half|sync|shutdown|halt" | awk -F: '{print $1}'`; do id $i; done | sort -k2

（补充：可以通过肉眼比对此命令的输出结果来判断其主要所属组和附属所属组）

# last | grep pts

方法二：查看系统日志

如果是 openSUSE & SLE 将以下内容：

# cat /var/log/messages | grep systemd-logind

（注意：必须在 /etc/ssh/sshd_config 配置文档里设置了 LogLevel INFO 参数和 SyslogFacility AUTH 参数以后此方法才会有效）

如果是 Rocky Linux & CentOS Linux & RHEL：

# cat /var/log/secure | grep systemd-logind

或者：

# cat /var/log/messages | grep systemd-logind

（注意：必须在 /etc/ssh/sshd_config 配置文档里设置了 LogLevel INFO 参数和 SyslogFacility AUTH 参数以后此方法才会有效）

1.1 SSH 配置文件的位置

/etc/ssh/sshd_config

1.2 SSH 配置文件的所属主、所属组和权限

1.2.1 确保 SSH 配置文件的所属主和所属组都是 root

# chown root:root /etc/ssh/sshd_config

1.2.2 确保 SSH 配置文件的权限是 640

# chmod 640 /etc/ssh/sshd_config

内容二：SSH 常用安全加强配置项

2.1 将 SSH 设置为 v2 版本

2.1.1 将 SSH 设置为 v2 版本的配置参数

Protocol 2

2.1.2 将 SSH 设置为 v2 版本的参考步骤

# sed -i 's/.*Protocol .*/Protocol 2/g' /etc/ssh/sshd_config

2.2 忽略 Rhosts 认证

2.2.1 忽略 Rhosts 认证的配置参数

IgnoreRhosts yes

2.2.2 设置忽略 Rhosts 认证的参考步骤

# sed -i 's/^.*IgnoreRhosts .*/IgnoreRhosts yes/g' /etc/ssh/sshd_config

2.3 禁止受信任的客户端通过 .rhosts 或 /etc/hosts.equiv 进行认证

2.3.1 设置禁止受信任的客户端通过 .rhosts 或 /etc/hosts.equiv 进行认证的配置参数

HostbasedAuthentication no

2.3.2 设置禁止受信任的客户端通过 .rhosts 或 /etc/hosts.equiv 进行认证的参考步骤

# sed -i 's/.*HostbasedAuthentication .*/HostbasedAuthentication no/g' /etc/ssh/sshd_config

2.4 禁止使用用户提交的 SSH 环境

2.4.1 设置禁止使用用户提交的 SSH 环境的配置参数

PermitUserEnvironment no

2.4.2 设置禁止使用用户提交的 SSH 环境的参考步骤

# sed -i 's/.*PermitUserEnvironment .*/PermitUserEnvironment no/g' /etc/ssh/sshd_config

2.5 禁止 root 用户通过 SSH 登录

2.5.1 禁止 root 用户通过 SSH 登录的配置参数

PermitRootLogin no

2.5.2 设置禁止 root 用户通过 SSH 登录的参考步骤

# sed -i 's/.*PermitRootLogin .*/PermitRootLogin no/g' /etc/ssh/sshd_config

2.6 禁止空密码 SSH 登录

2.6.1 禁止空密码 SSH 登录的配置参数

PermitEmptyPasswords no

2.6.2 设置禁止空密码 SSH 登录的参考步骤

# sed -i 's/.*PermitEmptyPasswords .*/PermitEmptyPasswords no/g' /etc/ssh/sshd_config

2.7 将 SSH 登录信息写入系统日志

2.7.1 将 SSH 登录信息写入系统日志的配置参数

SyslogFacility AUTH

2.7.2 设置将 SSH 登录信息写入系统日志的参看步骤

# sed -i 's/.*SyslogFacility .*/SyslogFacility AUTH/g' /etc/ssh/sshd_config

2.8 记录全部 SSH 信息

2.8.1 记录全部 SSH 信息的配置参数

LogLevel INFO

2.8.2 设置记录全部 SSH 信息的参考步骤

# sed -i 's/.*LogLevel .*/LogLevel INFO/' /etc/ssh/sshd_config

2.9 设置最大尝试登录失败数和触发尝试登录失败日志的登录失败数

2.9.1 设置最大尝试登录失败数和触发尝试登录失败日志的登录失败数的配置参数

MaxAuthTries 5

（补充：这里以设置最大尝试登录失败数是 5 次为例，如果此时尝试登录次数超过 2，则系统日志中会出现登录失败的记录）

2.9.2 设置最大尝试登录失败数和触发尝试登录失败日志的登录失败数的参考步骤

# sed -i 's/.*MaxAuthTries .*/MaxAuthTries 5/g' /etc/ssh/sshd_config

（补充：这里以设置最大尝试登录失败数是 5 次为例，如果此时尝试登录次数超过 2，则系统日志中会出现登录失败的记录）

2.10 设置 SSH 登录时密码输入的时间

2.10.1 设置 SSH 登录时密码输入的时间的配置参数

LoginGraceTime 600

或者：

LoginGraceTime 10m

（补充：这里以设置 SSH 登录时密码输入的时间为 600 秒为例）

2.10.2 设置 SSH 登录时密码输入的时间都参考步骤

# sed -i 's/.*LoginGraceTime .*/LoginGraceTime 600/g' /etc/ssh/sshd_config

或者：

# sed -i 's/.*LoginGraceTime .*/LoginGraceTime 10m/g' /etc/ssh/sshd_config

（补充：这里以设置 SSH 登录时密码输入的时间为 600 秒为例）

2.11 禁止 SSH 图形界面转发

2.11.1 禁止 SSH 图形界面转发的配置参数

X11Forwarding no

2.11.1 设置禁止 SSH 图形界面转发的参考步骤

# sed -i 's/.*X11Forwarding .*/X11Forwarding no/g' /etc/ssh/sshd_config

2.12 禁止 SSH TCP 转发

2.12.1 设置禁止 SSH TCP 转发的配置参数

AllowTcpForwarding no

2.12.2 设置禁止 SSH TCP 转发的参考步骤

# sed -i 's/.*AllowTcpForwarding .*/AllowTcpForwarding no/g' /etc/ssh/sshd_config

2.13 不显示上次 SSH 登录的信息，例如时间和地点等

2.13.1 设置不显示上次 SSH 登录的信息，例如时间和地点等的配置参数

PrintMotd no

或者：

PrintLastLog no

2.13.1 设置不显示上次 SSH 登录的信息，例如时间和地点等的参考步骤

# sed -i 's/.*PrintMotd .*/PrintMotd no/g' /etc/ssh/sshd_config

或者：

# sed -i 's/.*PrintLastLog .*/PrintLastLog no/g' /etc/ssh/sshd_config

2.14 设置同时只能让几个 SSH 用户登录

2.14.1 设置同时只能让几个 SSH 用户登录的配置参数

MaxStartups 10:30:60

（
补充：这里以
1) 最多同时只能让 10 个用户发起 SSH 登录请求，超过此数量的登录请求会被拒绝
2) 当 SSH 连接数超过上限时 （这里设置的是 10 个），再新发起 SSH 登录请求的用户，会有 30% 的概率被拒绝
3) 当 SSH 连接数超过 60 时，再新发起 SSH 登录请求的用户全部会被拒绝，这里的 30 参数将会无效
）

2.14.2 设置同时只能让几个 SSH 用户登录的参考步骤

# sed -i 's/.*MaxStartups .*/MaxStartups 10:30:60/g' /etc/ssh/sshd_config

（
补充：这里以
1) 最多同时只能让 10 个用户发起 SSH 登录请求，超过此数量的登录请求会被拒绝
2) 当 SSH 连接数超过上限时 （这里设置的是 10 个），再新发起 SSH 登录请求的用户，会有 30% 的概率被拒绝
3) 当 SSH 连接数超过 60 时，再新发起 SSH 登录请求的用户全部会被拒绝，这里的 30 参数将会无效
）

2.15 设置每个连接可以开启会话的个数

2.15.1 设置每个连接可以开启会话的个数的配置参数

MaxSessions 4

（补充：这里以设置每个连接可以开启 4 个会话为例，默认值为 10）

2.15.2 设置每个连接可以开启会话的个数的参考步骤

# sed -i 's/.*MaxSessions .*/MaxSessions 4/g' /etc/ssh/sshd_config

（补充：这里以设置每个连接可以开启 4 个会话为例，默认值为 10）

2.16 设置客户端 SSH 空闲超时时间

2.16.1 设置客户端 SSH 空闲超时时间的配置参数

ClientAliveInterval 100
ClientAliveCountMax 3

（补充：这里以设置客户端 SSH 空闲超时时间为 100 * 3=300 秒为例）

2.16.2 设置客户端 SSH 空闲超时时间的参考步骤

# sed -i 's/.*ClientAliveInterval .*/ClientAliveInterval 100/g' /etc/ssh/sshd_config
# sed -i 's/.*ClientAliveCountMax .*/ClientAliveCountMax 3/g' /etc/ssh/sshd_config

（补充：这里以设置客户端 SSH 空闲超时时间为 100 * 3=300 秒为例）

2.17 指定安全的 SSH Ciphers 加密算法

2.17.1 设置 SSH Ciphers 加密算法的配置参数

Ciphers aes256-ctr,aes192-ctr,aes128-ctr

（补充：这里以使用 aes256-ctr、aes192-ctr 和 aes128-ctr SSH Ciphers 加密算法为例）

2.17.2 设置 SSH Ciphers 加密算法的参考步骤

# echo "Ciphers aes256-ctr,aes192-ctr,aes128-ctr" >> /etc/ssh/sshd_config

（补充：这里以使用 aes256-ctr、aes192-ctr 和 aes128-ctr SSH Ciphers 加密算法为例）

2.18 指定安全的 SSH MACs 加密算法

2.18.1 设置 SSH MACs 加密算法的配置参数

MACs hmac-sha2-512,hmac-sha2-256

（补充：这里以使用 hmac-sha2-512 和 hmac-sha2-256 SSH MACs 加密算法为例）

2.18.2 设置 SSH MACs 加密算法的参考步骤

# echo "MACs hmac-sha2-512,hmac-sha2-256" >> /etc/ssh/sshd_config

（补充：这里以使用 hmac-sha2-512 和 hmac-sha2-256 SSH MACs 加密算法为例）

2.19 指定安全的 SSH KexAlgorithms 加密算法

2.19.1 设置 SSH KexAlgorithms 加密算法的配置参数

KexAlgorithms ecdh-sha2-nistp521,ecdh-sha2-nistp384,ecdh-sha2-nistp256,diffie-hellman-group-exchange-sha256

（补充：这里以使用 ecdh-sha2-nistp521、ecdh-sha2-nistp384、ecdh-sha2-nistp256 和 diffie-hellman-group-exchange-sha256 SSH KexAlgorithms 加密算法为例）

2.19.2 设置 SSH KexAlgorithms 加密算法的参考步骤

# echo "KexAlgorithms ecdh-sha2-nistp521,ecdh-sha2-nistp384,ecdh-sha2-nistp256,diffie-hellman-group-exchange-sha256" >> /etc/ssh/sshd_config

（补充：这里以使用 ecdh-sha2-nistp521、ecdh-sha2-nistp384、ecdh-sha2-nistp256 和 diffie-hellman-group-exchange-sha256 SSH KexAlgorithms 加密算法为例）

2.20 只允许某 IP 地址可以 SSH 本服务器

2.20.1 启用 UseTCPWrappers 参数

# vim /etc/ssh/sshd_config

将部分内容修改如下：

......
UseTCPWrappers yes
......

2.20.2 禁止所有 IP 地址可以 SSH 本服务器

# vim /etc/hosts.deny

添加以下内容：

......
sshd : ALL 

2.20.3 只允许某 IP 地址可以 SSH 本服务器

# vim /etc/hosts.deny

添加以下内容：

......
sshd : 192.168.0.1/32 : ALLOW
sshd : ALL

（补充：这里以允许 IP 地址 192.168.0.1 可以 SSH 本服务器为例）

（注意：这和防火墙的策略一样从上往下匹配及停止，所以允许某 IP 地址可以 SSH 本服务器的策略一定要加在禁止所有 IP 地址可以 SSH 本服务器的策略之前）

2.21 只允许从某 IP 地址来的某用户可以 SSH 本服务器

# vim /etc/ssh/sshd_config

添加以下内容：

......
AllowUsers zhumingyu mingyuzhu@192.168.1.1
AllowGroups zhu

（
补充：这里以
1) 允许用户 zhumingyu 可以登录
2) 允许从 192.168.1.1 来的用户 mingyuzhu 可以登录
3) 允许属于组 zhu 的用户可以登录
其它用户不能登录
为例
）

2.22 禁止某 IP 地址可以 SSH 本服务器

2.22.1 启用 UseTCPWrappers 参数

# vim /etc/ssh/sshd_config

将部分内容修改如下：

......
UseTCPWrappers yes
......

2.22.2 禁止某 IP 地址可以 SSH 本服务器

# vim /etc/hosts.deny

添加以下内容：

sshd : 192.168.0.1/32 : ALLOW

（补充：这里以禁止 IP 地址 192.168.0.1 可以 SSH 本服务器为例）

2.23 禁止从某 IP 地址来的某用户可以 SSH 本服务器

# vim /etc/ssh/sshd_config

添加以下内容：

......
DenyUsers zhumingyu mingyuzhu@192.168.1.1
DenyGroups zhu

（
补充：这里以
1) 禁止用户 zhumingyu 登录
2) 禁止从 192.168.1.1 来的用户 mingyuzhu 登录
3) 禁止属于组 zhu 的用户登录
其它用户都可以登录
为例
）

内容三：重启 sshd 服务

# systemctl restart sshd

（补充：内容二里的参数只有重启了 sshd 服务后才能生效）