设备安全加固

禁止root用户远程登录。
在“/etc/ssh/sshd_config”文件中将“PermitRootLogin”参数设置为“no”。
使用Linux自带的ASLR（Address Space Layout Randomization）功能，增强漏洞攻击防护能力。
在“/proc/sys/kernel/randomize_va_space”文件中写入“2”。
禁止不输入密码就可以使用sudo。
将sudo命令中targetpw选项设置为默认要求输入目标用户的密码，防止增加sudo规则后，所有用户不需要输入root密码，就可以提权root账号执行系统命令，导致普通用户越权执行命令。该选项默认不添加，建议添加该选项。
禁止普通用户或组通过所有命令提权到root用户。
执行cat /etc/sudoers命令检查“/etc/sudoers”文件中是否存在“root ALL=(ALL:ALL) ALL”和“root ALL=(ALL) ALL”之外的其他用户或组的“(ALL) ALL和(ALL:ALL) ALL”。如果存在，请根据实际业务场景确认是否需要，如果确认不需要，请删除，例如“user ALL=(ALL) ALL”、“%admin ALL=(ALL) ALL”或“%sudo ALL=(ALL:ALL) ALL”。
建议开启禁止历史命令查看功能。
执行set +o history临时关闭shell历史记录功能。
建议运行用户设置登录超时时间，禁止运行用户登录服务器后永不超时退出。
1. 打开/etc/profile文件。
```
sudo vim /etc/profile
```
2. 按“i”进入编辑模式，添加或修改如下变量。此处以超时时间设置为15分钟为例。
```
export TMOUT=900
```
3. 按“Esc”键，输入:wq!，按“Enter”保存并退出编辑。
4. 使配置生效。
```
source /etc/profile
```

父主题： 安全管理与加固