Linux安全加固设置

最新推荐文章于 2024-05-23 17:00:18 发布
最新推荐文章于 2024-05-23 17:00:18 发布
阅读量436 收藏 2
点赞数 1
文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2201_76022607/article/details/132102912
版权

 一、密码相关设置

1.1 编辑 /etc/login.defs文档,将PASS_MIN_LEN参数建议设为8  意思是最小密码长度为8

1.2 编辑 /etc/pam.d/system-auth文档,找到password  requisite pam_pwquality.so这一行,将这一行的参数改成:password  requisite pam_pwquality.so try_first_pass local_users_only retry=3 authtok_type= minlen=8 dcredit=-1 ucredit=-1 lcredit=-1 ocredit=-1  difok=3  

retry=3输入密码最多尝试3次
minlen=8密码最小长度是8位
dcredit=-1密码最少包含1个数字
ucredit=-1密码中最少包含1个大写字母
lcredit=-1密码最少包含一个小写字母
ocredit=-1密码最少包含一个特殊字符
difok=3新密码必须与旧密码有3位不同

在 auth  required    pam_deny.so   下面添加 auth required pam_tally.so onerr=fail deny=10 unlock_time=300

意思是:onerr=fail定义了当出现错误时的缺省返回值,root和普通用户连续错误登录最多10次,失败后禁止300秒

password    sufficient    pam_unix.so md5 shadow nullok try_first_pass use_authtok remember=5  把这句也添加进去

意思是:用户修改密码,用md5加固。执行成功就跳过其他模块返回结果,禁止使用最近使用过的5个密码

1.3 文档加固

找到umask的参数把umask的参数改成027 且下面必须添加
umask=027                  #设置新建目录默认权限750,文档权限640
TMOUT=180                #无操作300秒后自动退出
HISTFILESIZE=5         #存储历史记录文件是5          
HISTSIZE=5                #历史记录数量是5

source /etc/profile 使变量生效  

1.4 日志加固

编辑/etc/rsyslog.conf文档  文档后面添加:

*.* @172.34.1xx.xx:514   #把172.34.1xx.xx的所有用户的514端口(514端口是syslog传输数据的端口)

auth.info     /var/log/secure  #把认证信息日志收集在/var/log/secure里面

kern.warning;*.err;authpriv.none     #内核提示信息,错误日志都保存在/var/log/messages里面 除了用户认证的日志。
*.err;kern.debug;daemon.notice /var/adm/messages      

 #错误日志,内核调试信息,进程日志 保存在 /var/adm/messages里面。  没有 /var/adm/messages这个目录需创建一个, 命令: touch /var/adm/messages ,并修改权限 , chmod 666 /var/adm/messages   
重启日志服务 systemctl restart rsyslog
 

1.5 开启 coredump 功能

echo "* soft core 0" >> /etc/security/limits.conf
echo "* hard core 0" >> /etc/security/limits.conf 

1.6 编辑/etc/host.conf

vim  /etc/host.conf      先查找系统是否有  这3行 如果没有就添加
order hosts,bind      # 设置首先通过DNS解析IP地址,然后通过hosts文件解析
multi on                   # 检测是否"/etc/hosts"文件中的主机是否拥有多个IP地址
nospoof on              # 注意对本机未经许可的IP欺骗。

1.7 添加用户到wheel组

echo "auth required pam_wheel.so group=wheel" >> /etc/pam.d/su
# 授权使用su命令的用户添加到 wheel组  表示只有root用户和wheel组内的用户才可以使用su命令

1.8 创建用户

useradd lucy                                                                               # 创建用户lucy
usermod -G wheel lucy                                                       # 把lucy加入wheel组

echo '123...Zxmv' | passwd --stdin lucy  修改Lucy的密码

1.9 echo "net.ipv4.conf.all.accept_redirects = 0" >> /etc/sysctl.conf
# 处于对网络的安全考虑关闭 ICMP 路由重定向

2.0 设置banner  

  你用ssh登陆的时候,会自动显示系统版本信息之类的敏感信息
echo "Banner /etc/sshbanner" >> /etc/ssh/sshd_config   
touch /etc/sshbanner
echo "Authorized users only. All activity may be monitored and reported!" > /etc/sshbanner      
#systemctl restart sshd 再重启sshd 服务

2.1 设置禁止root登录  
echo "PermitRootLogin no" >> /etc/ssh/sshd_config    #禁止root用户登录
echo "Protocol 2" >> /etc/ssh/sshd_config       #ssh使用协议2版本 

2.2 开机自启下面所有的目录或文件全部改成750权限
chattr +a /var/log/messages     让/var/log/messages只能往里面追加数据,查看数据,但不能删除
chmod 640 /var/log/boot.log       系统启动日志修改权限为640

上课更加繁荣
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
linux系统安全加固方案
完颜振江
04-03 925
Linux 系统进行安全加固是非常重要的,以确保系统免受恶意攻击和数据泄露。确保系统和安装的软件都及时更新到最新版本,以修复已知的漏洞和安全问题。在Linux系统中,你可以使用不同的命令和工具来定期更新系统和软件。以下是一些常用的命令和案例:这个命令会先更新可用的软件包列表,然后再升级所有已安装的软件包到最新版本。首先使用命令检查可用更新,然后使用命令升级所有可用的软件包。类似地,首先使用命令检查可用更新,然后使用命令升级所有可用的软件包。这个命令会更新所有已安装的Snap软件包到最新版本。
2024年Linux最全Linux安全加固功能
2401_83947048的博客
04-30 498
加固分为两部分:安全加固、加固shell安全加固是通过防火墙,将目前已开放的端口(netstat命令查看)放通,其他端口默认拒绝,后续也可以通过工具来放通、拒绝IP/端口的访问。加固shell是用脚本来模拟一个shell,模拟shell可执行的命令受限,并且此脚本无法通过ctrl+c、ctrl+z等快捷键退出。这个功能在护网等场景会用到。加固shell开启后,只允许vshell这一个用户登陆,其他用户(包括root)无法登陆。加固shell开启后,无法使用ftp、telnet等功能了。
linux安全加固Linux运维高级面试
2401_84140519的博客
04-08 871
但是我们不希望别的用户随随便便的就删除了自己的文件,于是便有了粘连位,它的作用便是让用户只能删除属于自己的文件。检查主配置文件 /etc/vsftpd/vsftpd.conf是否存在如下内容。也就是说,即便该目录是任何人都可以写,但也只有文件的属主才可以删除文件。3.查看日志是否有时间段的目录,有了则成功。1.修改关键文件的日志和底层属性。1.修改当前用户的登录启动脚本。1.修改应用服务器日志配置文件。1.修改应用服务器日志配置文件。2.修改pam的本地登录文件。1.修改su的配置文件。
Linux安全加固
qq_39330735的博客
03-29 926
etc/passwd #记录本地用户的属性信息,如UID、GID/etc/shadow #存放用户的口令信息 只有系统管理员能查看/etc/pam.d/system-auth #账户安全配置文件/etc/login.defs #修改登录的配置文件/etc/profile #Linux全局变量信息/etc/ssh/sshd config #ssh服务配置文件。
Linux系统的安全加固
weixin_45612728的博客
10-27 861
Linux系统的安全加固
linux安全加固
m0_51553670的博客
06-01 3913
目的:在设备权限配置能力内,根据用户的企业需要,配置其所需的最小权限,以减少非法访问的可能性。目的:修改创建文件或目录时的默认权限,防止属于该组的其他用户级别组的用户修改该用户的文件。目的:删除系统不需要的默认账号、更改危险账号的默认shell变量,降低被利用的可能性。目的:对于采用静态密码认证的设备,账户密码的生存周期不长于90天。目的:限制用户对系统资源的使用,减缓DDOS等攻击危害。目的:关闭无用服务,提高系统性能,减低漏洞风险。目的:规范使用高强度密码,延长被爆破的时间。
Linux安全加固 附脚本
Sajor的博客
08-09 2118
刚拿到一台全新的Linux服务器怎么办?让我们从四个方面来预防Linux安全问题。
Linux 安全加固大全(合集)
qq_37561898的博客
06-19 8715
linux加固 mysql 密码策略 ssh
Linux服务器基本安全加固
不会飞的鱼、
05-09 1902
一、检查系统空密码账户 | 身份鉴别 描述 检查系统空密码账户 加固建议 为用户设置一个非空密码,或者执行passwd -l <username>锁定用户 操作时建议做好记录或备份 二、禁止SSH空密码用户登录 | SSH服务配置 描述 禁止SSH空密码用户登录 加固建议 编辑文件/etc/ssh/sshd_config,将PermitEmptyPasswords配置为no: PermitEmptyPasswords no 操作时建议做好记录或备份 三、设置密码失效时间
Linux安全加固功能
02-28 1186
Linux运维工具-ywtool jiagu命令介绍
linux云主机安全加固
热门推荐
Jeration的博客
01-05 1万+
环境情况: 百度智能云,ubuntu1804,系统盘20G,数据盘50G,数据盘挂载点:/opt 进行的安全加固操作 (1)禁止ping 目的:为防止网络中的不法分子使用Ping操作来试探云主机的端口,故禁止云主机的Ping操作。 操作: linux主机配置文件修改: vim /etc/sysctl.conf #添加或修改 net.ipv4.icmp_echo_ignore_all = 1 ...
LINUX安全加固手册.pdf
09-29
LINUX安全加固手册.pdf
Linux安全加固.pdf
08-21
Linux安全加固规范,
Linux安全加固.txt
06-17
Linux安全加固.txt
linux系统安全加固手册.pdf
01-15
不错的资源哦!
linux安全加固加固
06-28
Linux中的各种日志集合 cd /var/log 查看ssh用户的登录日志: less secure 进入用户目录/home/oracle/,查看.bash_history文件: 首先通过 netstat -lnp 去查看当前开放的端口 对应的系统进程,发现可疑的直接...
内网安全--域渗透准备知识
金灰的博客
05-22 736
通过域成员主机,定位出域控制器 IP 及域管理员账号,利用 域成员主机作为跳板,扩大渗透范围,利用域管理员可以登陆域中任何成员主机的特性, 定位出域管理员登陆过的主机 IP,设法从域成员主机内存中 dump 出域管理员密码,进 而拿下域控制器、渗透整个内网.某个域用户需要使用 viso 软件进行绘图操作,于是联系网络管理员进行安装,网络管理 员采用域管理员身份登录了域成员主机,并帮助其安装了 viso 软件,于是这个有计算机 基础的员工,切换身份登录到了本地计算机的管理员,后执行。
智慧社区管理系统:打造便捷、安全、和谐的新型社区生态
最新发布
GIS数据转换器的博客
05-23 775
智慧社区管理系统以科技创新赋能社区治理,将极大提升社区服务效率,优化物业管理模式,增进邻里关系,强化社区安全防护。我们期待在不久的未来,每一位居民都能在这样的智慧社区中享受到科技带来的便利与安心,共同编织一幅和谐、宜居的现代社区画卷。
领域知识 | 智能驾驶安全领域部分常见概论
叫好与叫座虽然不是对立面,但想在同一个作品中达到双重效果很难。
05-23 1291
Hi,早。最近想买个新能源车,这个车吧相比于之前的内燃车,新能源车与外界的交互多了很多。比如娱乐的第三方应用,OTA升级等应用。交互带来的便利越多,暴露的风险自然也就越大,相比于手机等消费者终端设备,车要是被黑客远程操控,这就玩大了。所以对于车规级的芯片和系统,从沙子开始就有相应得规范来保证安全。作为一个曾经的安全领域的不知名靓仔,于是就在这里整理回忆了部分涉及到的概念和理论记录如下。保证一个系统的安全,需要从多个维度去考虑。网络、通信、系统、应用、硬件等多方面。
linux 安全加固
09-19
Linux安全加固可以采取以下措施: 1. 限制用户对系统资源的使用,以减缓DDOS等攻击危害: - 修改限制文件 `/etc/security/limits.conf`,设置用户的核心文件限制、进程数限制、内存限制等。 - 修改pam的本地登录文件 `/etc/pam.d/login`,在文件末尾加入信息以确保限制生效。 - 定期收集进程数使用 `ps aux |grep httpd |wc -l`,以监控用户进程数使用情况。 - 对用户的常用命令如`ls`、`rm`设置别名,以增加安全性。 2. 检查是否有账号获取过高权限: - 检查哪些账户属于其他组,特别关注UID起始值是否正常,小于1000的账户可能存在风险。 - 查看能登录系统的用户组ID和用户ID,确保没有未授权的高权限账户存在。 3. 根据不同用途设置不同账户账号,提高安全层级: - 创建多用途账号,为不同的用途创建不同的账户,并设置密码和目录权限。 - 对普通账户使用特定授权命令 `sudo`,限制其执行特定命令的权限。 - 修改sudo的提权应用,可以通过修改`/etc/sudoers`文件或使用命令`visudo`来进行设置。 4. 定期检查高权限文件,确保权限设置正确。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值