Linux 安全加固：设置命令行无操作超时退出

在 Linux 系统安全基线检查中，未配置命令行超时退出是一个常见的中危风险。如果用户长时间保持登录状态但未操作，攻击者可能利用这一点进行未授权访问。

🔎 为什么需要超时退出

• 安全风险：如果管理员忘记退出终端，攻击者可能直接利用已登录的会话。
• 合规要求：等保要求命令行超时退出时间不大于 600 秒。
• 最佳实践：在服务器环境中，建议设置 300 秒（5 分钟），既能保证安全，又不会过于频繁打断正常操作。

⚠️ 风险描述

检查结果显示：系统未配置命令行超时退出。
这意味着用户在终端长时间无操作时，仍然保持登录状态，存在安全隐患。

🛠️ 解决方案

1. 修改配置文件

编辑/etc/profile，添加以下内容：

TMOUT=300exportTMOUT

说明：

• TMOUT单位为秒，这里设置为 300 秒（5 分钟）。
• 超过该时间未操作，终端会自动退出。

2. 立即生效

执行：

source/etc/profile

3. 验证结果

打开一个新的终端，保持无操作，超过 300 秒后会自动退出。

📌 注意事项

• 范围：此配置对所有用户生效。
• 灵活调整：如果需要更长时间，可以设置为 600 秒，但不建议超过合规要求。
• 临时关闭：某些场景下可以在会话中临时取消：

  unsetTMOUT

• 脚本执行：不会影响后台脚本运行，只针对交互式 shell。

✅ 最佳实践

1. 在生产环境统一设置 300 秒，确保安全。
2. 在开发/测试环境，可根据需要适当放宽，但建议不超过 600 秒。
3. 将此配置纳入安全基线检查脚本，定期验证。

📝 总结

通过设置命令行无操作超时退出，可以有效防止因管理员疏忽导致的安全风险。这是 Linux 安全加固的重要一环，建议纳入日常运维流程。