1、禁止被ping: 一、临时生效
1、允许ping
echo 0 >/proc/sys/net/ipv4/icmp_echo_ignore_all
2、禁止ping
echo 1 >/proc/sys/net/ipv4/icmp_echo_ignore_all
二、永久生效
修改文件:/etc/sysctl.conf
1、允许ping
增加一行:
net.ipv4.icmp_echo_ignore_all=0
2、禁止ping
增加一行:
net.ipv4.icmp_echo_ignore_all=1
修改后使用以下命令使之生效:
sysctl -p
2、Linux下/etc/pam.d/system-auth文件内容:
auth required pam_env.so #登陆后的环境变量
auth sufficient pam_fprintd.so #指纹认证
auth sufficient pam_unix.so nullok try_first_pass #验证用户密码有效性
auth requisite pam_succeed_if.so
auth required pam_deny.so
auth required pam_tally2.so deny=3 unlock_time=5 even_deny_root root_unlock_time=10 #连续密码错误3次锁定账户,普通用户3秒后解锁,root用户10秒解锁
account required pam_unix.so
account sufficient pam_localuser.so
account sufficient pam_succeed_if.so uid < 500 quiet #/对用户的登录条件做一些限制
account required pam_permit.so
password requisite pam_cracklib.so try_first_pass retry=3 type= minlen=8 ucredit=-2 lcredit=-4 dcredit=-1 ocredit=-1 #(登陆失败可以重试3次;密码最小长度8;最少包括2个大写字母;最少包含4个小写字母;最少包含一个数字;最好包含一个特殊字符)
password sufficient pam_unix.so md5 shadow nullok try_first_pass use_authtok remember=5 #(用户最近5次使用过的旧密码不能重复使用)
password required pam_deny.so
session optional pam_keyinit.so
session required pam_limits.so
session [success=1 default=ignore] pam_succeed_if.so service in crond quiet use_uid
session required pam_unix.so
1、第一组内容:
(1)
auth required pam_env.so
//登录后的环境变量。required表示一个错误则全返回错误,只不过最后返回错误
(2)
auth sufficient pam_unix.so nullok try_first_pass
//验证用户密码的有效性。如果使用nullok参数,用户不输入密码就可以获得系统提供的服务。同时,也允许用户密码为空时更改用户密码。 try_first_pass尝试在提示用户输入密码前,使用前面一个堆叠的auth模块提供的密码认证用户。sufficient表示如果该模块执行成功则跳过其他所有模块返回结果。
(3)
auth requisite pam_succeed_if.so uid >= 1000 quiet_success
//允许uid大于1000的用户在通过密码验证的情况下登录。requisite表示执行错误则立即返回
(4)
auth required pam_deny.so
//对所有不满足上述任意条件的登录请求直接拒绝。required表示一个错误则全返回错误,只不过最后返回错误
2、第二组内容:
(1)
account required pam_unix.so
//主要执行建立用户帐号和密码状态的任务,然后执行提示用户修改密码,用户采用新密码后才提供服务之类的任务。required表示一个错误则全返回错误,只不过最后返回错误
(2)
account sufficient pam_localuser.so
//要求将用户列于 /etc/passwd 中。sufficient表示如果该模块执行成功则跳过其他所有模块返回结果。
(3)
account sufficient pam_succeed_if.so uid < 1000 quiet
//对用户的登录条件做一些限制,表示允许uid大于1000的用户在通过密码验证的情况下登录。sufficient表示如果该模块执行成功则跳过其他所有模块返回结果。
(4
)account required pam_permit.so
//required表示一个错误则全返回错误,只不过最后返回错误
3、第三组内容:
(1)
password requisite pam_pwquality.so try_first_pass local_users_only retry=3 authtok_type=
//对用户密码提供强健性检测。requisite表示执行错误则立即返回
(2)
password sufficient pam_unix.so sha512 shadow nullok try_first_pass use_authtok
//让用户更改密码的任务。sufficient表示如果该模块执行成功则跳过其他所有模块返回结果。
(3)
password required pam_deny.so
//对所有不满足上述任意条件的登录请求直接拒绝。required表示一个错误则全返回错误
4、第四组内容:
(1)
session optional pam_keyinit.so revoke
//表示当用户登录的时候为其建立相应的密钥环,并在用户登出的时候予以撤销。optional表示即便该行所涉及的模块验证失败用户仍能通过认证
(2)
session required pam_limits.so
//限制用户登录时的会话连接资源,相关pam_limit.so配置文件是/etc/security/limits.conf,默认情况下对每个登录用户都没有限制。required表示一个错误则全返回错误,只不过最后返回错误
(3)
-session optional pam_systemd.so
(4)
session [success=1 default=ignore] pam_succeed_if.so service in crond quiet use_uid
//success=1时执行本行。default=ignore用来设置上面的返回值是无法达的行为时,那么这个模块的返回值将被忽略,不会被应用程序知道。对用户的登录条件做一些限制
(5)
session required pam_unix.so
//记录用户名和服务名到日志文件的工作,只不过最后返回错误