vi /etc/ssh/sshd_config

將PermitRootLogin yes改為PermitRootLogin no

systemctl restart sshd

# 修改前備份
cp /etc/login.defs /etc/login.defs.bak

# 修改配置
vim /etc/login.defs
# 修改下面的內(nèi)容
PASS_MAX_DAYS  90  # 密碼最大過期時(shí)間，不大于90則合規(guī)
PASS_MIN_DAYS  7   # 口令更改最小間隔天數(shù)應(yīng)大于等于7
PASS_WARN_AGE  7   # 口令過期警告提前天數(shù)

# 修改前備份
cp /etc/pam.d/system-auth /etc/pam.d/system-auth.bak

# 修改配置
vim /etc/pam.d/system-auth

# 沒有則新增
password    requisite     pam_cracklib.so try_first_pass retry=3 minlen=8 dcredit=-1 ucredit=-1 ocredit=-1 lcredit=-1

配置參數(shù)說明：
# 配置說明
retry= 3       # 在返回失敗前允許3次嘗試。
minlen = 8    # 密碼必須是8個(gè)字符或更多
dcredit = - 1  # 提供至少1位數(shù)字
ucredit = - 1  # 提供至少一個(gè)大寫字符
ocredit = - 1  # 提供至少一個(gè)特殊字符
lcredit = - 1  # 提供至少一個(gè)小寫字符

vim /etc/pam.d/system-auth

# 增加如下內(nèi)容：輸入錯(cuò)誤5次，鎖定180s
auth        required      pam_tally2.so deny=5 notallow=fail no_magic_root unlock_time=180 

account     required      pam_tally2.so

# 修改前備份
cp /etc/pam.d/su /etc/pam.d/su_bak
vim /etc/pam.d/su

# 添加
auth            sufficient      pam_rootok.so
auth            required        pam_wheel.so use_uid

# 將允許su的用戶加入wheel組
usermod -G wheel $username

vim /etc/profile
# 修改下面配置，沒有則新增
# 設(shè)置歷史命令時(shí)間戳
export HISTTIMEFORMAT="%F %T "
# 
HISTFILESIZE=5
HISTSIZE=50  # 保留歷史命令條數(shù)，默認(rèn)是1000條

chmod 644 /etc/passwd
chmod 644 /etc/group
chmod 400 /etc/shadow
chmod 400 /etc/gshadow

systemctl enable rsyslog
systemctl start rsyslog