centos 账号安全设置

1）配置文件 /etc/login.defs 设置密码有效期、长度和密码过期时间参数

PASS_MAX_DAYS 设置用户密码的有效期（以天数为单位）
PASS_MIN_DAYS 是否可修改密码，0表示可修改，非0表示多少天可修改
PASS_MIN_LEN 设置用户密码的最小长度。
PASS_WARN_AGE 设置用户密码到期时的提前通知时间（以天数为单位）。

2） 账号密码复杂度控制机制 /etc/pam.d/system-auth

retry=5 设置新密码时允许尝试的次数为5次
difok=3 密码中最少有3种不同的字符
minlen=12 密码最短长度大于12个字符
ucredit=1 密码中至少有1个大写字母
lcredit=3 密码中最少包含3个小写字母
dcredit=3 密码中最少包含3个数字。
3）登录系统失败控制机制 /etc/pam.d/log

为了防止某些用户恶意尝试登录系统而来的影响
deny 设置用户连续错误输入密码次数（只要超过这个数，用户账号就被锁定）。
lock_time 设置普通用户被锁定的时长，单位是秒。
even_deny_root 这个限制也包括root用户。
root_unlock_time 设置root 用户被锁的时长，单位是秒

4) ip地址限制远程访问 /etc/hosts.allow

如：允许192.168.68.16 访问

添加
sshd:192.168.68.16:allow
sshd:all:deny
如：允许 192.168.68段IP的主机远程登录
sshd:192.168.68.:allow
sshd:all:deny
如允许IP地址在192.168.68.10~192.168.68.100之间的主机远程登录
sshd:192.168.68.10:allow
sshd:192.168.68.100:allow