linux加固[增加项]指南

最新推荐文章于 2024-07-24 21:34:55 发布
最新推荐文章于 2024-07-24 21:34:55 发布
阅读量644 收藏 11
点赞数 11
文章标签: linux 服务器 数据库
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2301_80114500/article/details/139087364
版权
    1. 口令锁定策略

加固方法:

  1. 把查找到的行在行首添加“#”进行注释,在注释行之后添加以下内容

编辑/etc/pam.d/system-auth修改为如下策略 auth requisite pam_faillock.so preauth audit deny=5 even_deny_root unlock_time=600

auth [default=die] pam_faillock.so authfail audit deny=5 even_deny_root unlock_time=600

auth sufficient pam_faillock.so authsucc audit deny=5 even_deny_root unlock_time=600

  1. 编辑/etc/pam.d/password-auth修改为如下策略auth required pam_faillock.so preauth audit deny=5 even_deny_root unlock_time=600

auth [default=die] pam_faillock.so authfail audit deny=5 even_deny_root unlock_time=600

auth sufficient pam_faillock.so authsucc audit deny=5 even_deny_root unlock_time=600

说明

deny=为登陆失败尝试次数

even_deny_root为root账户登录达到失败次数也会锁定

unlock_time=为锁定时长,以秒为单位

恢复方法:

  1. 在/etc/pam.d/system-auth、/etc/pam.d/password-auth  deny参数,unlock_time参数等恢复成默认值
    1. 登录超时设置

加固方法:

  1. 在/etc/profile文件添加或修改成如下行:

TMOUT=300

  1. 有的重启系统可能不生效,建议在每个用户下的.bashrc文件行尾追加下行:

source /etc/profile

  1. 对相关文件打标记:

sudo kysec_set exectl -v verified -f /etc/profile

注意:这里的“用户”是具体的用户,如“root”用户

恢复方法:

  1. 在/etc/profile文件删除如下行:

TMOUT=300

  1. 对相关文件打标记:

sudo kysec_set exectl -v verified -f /etc/profile

    1. 限制 root 用户 SSH 远程登录

加固方法:

  1. 在/etc/ssh/sshd_config文件添加或修改成如下行

PermitRootLogin no

  1. 重启ssh服务:

$sudo systemctl restart ssh

恢复方法:

  1. 在/etc/ssh/sshd_config文件添加或修改成如下行

PermitRootLogin yes

  1. 重启ssh服务:

$sudo systemctl restart ssh

    1. 设置文件与目录缺省权限控制

加固方法:

  1. 在/etc/bashrc文件中添加或修改成如下行:

umask  027

  1. 给/etc/bashrc打标记:

sudo kysec_set exectl -v verified -f /etc/bash.bashrc

  1. 重启系统生效

恢复方法:

  1. 在/etc/bashrc文件中删除如下行:

umask  027

  1. 给/etc/bashrc打标记:

sudo kysec_set exectl -v verified -f /etc/bashrc

  1. 重启系统生效

    1. 口令生存周期

加固方法:

  1. 在/etc/login.defs添加或修改成如下行:

PASS_MAX_DAYS 90

PASS_WARN_AGE 7

  1. 修改已创建用户的口令有效期和到期前警告时间:

chage -M 90 <用户名>

chage --warndays 7 <用户名>

恢复方法:

  1. 在/etc/login.defs添加或修改成如下行:

PASS_MAX_DAYS 99999

PASS_WARN_AGE 7

  1. 修改已创建用户的口令有效期和到期前警告时间:

chage -M 99999 <用户名>

chage --warndays 7 <用户名>

    1. 密码复杂度

加固方法:

  1. 在/etc/security/pwquality.conf文件中的参数修改成如下:

minlen = 8

dcredit = -1

ucredit = -1

lcredit = -1

ocredit = -1

usercheck = 1

minclass = 3

恢复方法:

  1. 在/etc/security/pwquality.conf文件中如下行前都添加“#”屏蔽相关行:

minlen = 8

dcredit = -1

ucredit = -1

lcredit = -1

ocredit = -1

usercheck = 1

minclass = 3

    1. 启用远程日志功能

加固方法:

  1. 在/etc/rsyslog.conf中添加如下信息(服务器端使用rsyslog进行日志远程管理,客户的加固配置)

*.* @<服务器ip>:514

样例:

*.* @192.168.10.29:514

  1. 重启rsyslog服务

$sudo systemctl restart rsyslog

恢复方法:

  1. 在/etc/rsyslog.conf中去除服务ip地址相关配置
  2. 重启rsyslog服务

$sudo systemctl restart rsyslog

    1. 锁定系统无关用户

加固方法:

  1. 运行以下命令进行用户锁定:

sudo usermod -L <用户名>

恢复方法:

  1. 运行以下命令进行用户锁定:

sudo passwd -u <用户名>

    1. 配置用户最小授权

加固方法:

  1. 修改/etc/security的权限为600

$ chmod 600 /etc/security

恢复方法:

  1. 修改/etc/security的权限为之前的权限xxx

$ chmod xxx /etc/security

    1. 记录安全事件日志

加固方法:

  1. 存在/etc/rsyslog.conf,在相关文件中配置添加如下行:

*.err;kern.debug;daemon.notice /var/adm/messages

恢复方法:

在/etc/rsyslog.conf删除加固时添加的行。

    1. 配置 NFS 共享服务限制

加固方法:

  1. 检查系统是否安装nfs-kernel-server软件,如安装则进行第二步

$rpm -qa|grep nfs-utils

  1. 在/etc/exports中进行ip限制,具体需要根据实际情况进行设置。

样例:

/data/test 192.168.0.0/24(rw)

说明:样例中/data/test是共享目录,192.168.0.0/24是表示共享的网段,,rw 表只读写,其他权限请参考nfs使用说明文档进行设置

  1. 使用如下命令重启nfs服务器

$sudo systemctl restart nfs-server

注意:nfs本身存在很多安全漏洞,如“show mount -e”漏洞,管理员如未正确配置可能存在安全隐患

恢复方法:

  1. 在/etc/exports中删除或注释修改的行
  2. 使用如下命令重启nfs服务器

$sudo systemctl restart nfs-server

    1. 控制远程访问的 IP 地址

加固方法:

  1. 在/etc/hosts.deny文件中配置如下行:

sshd:ALL

  1. 在/etc/hosts.allow文件中配置如下行:

sshd:ip地址或地址段

注意:地址或地址段是具体的ip或ip网段

恢复方法:

  1. 在/etc/hosts.deny文件中如下行前添加“#”进行注释:

sshd:ALL

  1. 在/etc/hosts.allow文件中删除相关ip或网段的设置

    1. 配置NTP

加固方法:

  1. 首先检查systemd服务配置文件/usr/lib/systemd/system/ntpd.service是否存在,如果不存在,认为未安装ntp服务,检查项返回无需加固状态。如果文件存在,检查以下四项:

(1)ntpd服务是否设置为自启动;

(2)/etc/ntp.conf文件内是否有restrict default配置行,且配置了kod、nomodify、notrap、nopeer、noquery选项;

(3)/etc/ntp.conf文件内配置了远端校时服务器(server或pool起始行);

(4)ntp服务是否指定以ntp用户组及ntp用户执行(/usr/lib/systemd/system/ntpd.service文件内ExecStart行有-u ntp:ntp程序参数,或/etc/sysconfig/ntpd文件内OPTIONS配置有-u ntp:ntp参数)

  1. 若以上检查结果均为是,则此检查项无需加固,否则,需要(手动)加固

恢复方法:

手动还原,将加固的配置及参数修改为加固之前的样子

    1. 修改SNMP的默认Community

加固方法:

  1. 如果系统未安装snmp服务,则无需加固
  2. 如存在/etc/snmp/snmp.conf,且存在private或public默认团体名 把查找到的行在行首添加“#”进行注释,在注释行之后添加以下内容:

把private或public 改成:security_snmp,并去除default关键字。

  1. 重启snmp服务

systemctl restart snmpd

恢复方法:

1)把加固时新增的行全部删除,再去掉查找到的行的行首的“#”。

2)重启snmp服务

systemctl restart snmpd

卡基咪857
关注
  • 11
    点赞
  • 11
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Linux下的/etc/pam.d/system-auth配置文件参数说明
oldboy1999的博客
12-12 1万+
Linux下的/etc/pam.d/system-auth配置文件参数说明
Linux服务器通用安全加固指南
qq_45768092的博客
09-12 967
一、基本系统安全 1、保护引导过程 在 /etc/inittab 中添加 sp:S:respawn:/sbin/sulogin,以确保当切换到单用户模式时 运行级的配置要求输入 root 密码: cp /etc/inittab /etc/inittab.bakt vim /etc/inittab 防止用户使用 Ctrl-Alt-Del 进行重新引导: 在RHEL6.X和CentOS 6.X下, 该热键的行为由’/etc/init/control-alt-delete.conf’控制。 注释掉原来的
linux系统安全加固方案
完颜振江
04-03 1209
Linux 系统进行安全加固是非常重要的,以确保系统免受恶意攻击和数据泄露。确保系统和安装的软件都及时更新到最新版本,以修复已知的漏洞和安全问题。在Linux系统中,你可以使用不同的命令和工具来定期更新系统和软件。以下是一些常用的命令和案例:这个命令会先更新可用的软件包列表,然后再升级所有已安装的软件包到最新版本。首先使用命令检查可用更新,然后使用命令升级所有可用的软件包。类似地,首先使用命令检查可用更新,然后使用命令升级所有可用的软件包。这个命令会更新所有已安装的Snap软件包到最新版本。
基于Linux对MySQL数据库的安全加固指南(超实用--实战版)
liu_chen_yang的博客
09-15 3808
MySQL数据库是业务系统中常用的关系型数据库,但是由于其广泛使用,也成为安全攻击的目标。因此,数据库安全加固至关重要。下面将为大家提供一份基于Linux的MySQL数据库安全加固指南,帮助大家保护自己及公司的数据库免受潜在的安全威胁。常见的MySQL数据库攻击方式包括SQL注入,暴力破解和拒绝服务攻击。1.修改默认端口:MySQL默认端口为3306,容易被攻击者扫描到,建议修改为其他端口。2.安装防火墙:通过配置防火墙,可以控制数据库的访问权限,并防止恶意请求。
LINUX安全加固手册.pdf
09-29
LINUX操作系统的安全加固是一复杂的任务,需要从多方面入手,涵盖了密码安全策略、用户帐号安全、网络服务安全等多个方面。以下是LINUX安全加固手册中的一些关键知识点: 一、概述 LINUX安全加固手册的主要目的...
linux系统安全加固手册.pdf
01-15
Linux 系统安全加固手册 ...本文档提供了一个完整的 Linux 系统安全加固指南,涵盖了用户账户管理、密码管理、系统日志管理、系统安全配置、系统服务管理和权限管理等多个方面的安全配置和加固措施。
06-SUSE Linux安全加固
03-27
SUSE Linux 安全加固指南 SUSE Linux 安全加固Linux 操作系统的重要组成部分。作为一名 IT 专业人士,了解 SUSE Linux 安全加固的重要性和相关知识点是非常必要的。下面,我们将详细介绍 SUSE Linux 安全加固的...
SUSELinux主机安全加固通用操作指导书.doc
02-24
SUSE Linux 主机安全加固通用操作指导书 SUSE Linux 主机安全加固通用操作指导书旨在提供一份详细的指导手册,以帮助管理员和安全专家对 SUSE Linux 主机进行安全加固。该指导书涵盖了从系统检查到加固实施的各个...
CIS Security加固手册Red Hat Linux 8
01-26
《CIS Red Hat Enterprise Linux 8 Benchmark v1.0.0》是一份针对Red Hat Enterprise Linux 8操作系统安全加固的重要指南。这份文档旨在提供一套共识性的最佳实践,以确保Linux服务器的安全性和稳定性,适用于运维...
Linux:基础命令学习
qq_55038440的博客
07-20 941
实例:-F根据文件类型在列出的文件名称后加一符号。实例: -R 递归显示目录中的所有文件和子目录。. 开头的隐藏文件也会列出。可执行文件则加 "*",用于显示目录文件信息。
GNU/Linux - Bazaar版本管理工具
guoqx的专栏
07-24 220
根据 Jelmer Vernooij 的说法,Canonical 的 Bazaar 团队的成员在 2012 年初被分配到不同的任务,他本人在7年来为该目做出贡献后,于2012年底停止了对 Bazaar 的贡献。同样,Bugzilla目在2014 3月从 Bazaar 改为使用 git,其中一个原因是 Bazaar 几乎已被放弃的印象:“每个月可能有 2-3 次向主干提交。并用来进行Ubuntu目的版本控制。Bazaar 可以由一个开发本地内容的多个分支的开发人员使用,也可以由跨网络协作的团队使用。
linux学习笔记整理: 关于linux:Shell脚本 2024/7/20;
gzx233的博客
07-20 897
Shell脚本的使用
Linux服务器Java环境搭建】010在linux中安装Redis,以及对Redis的配置与远程连接
liuzhenhe1988的专栏
07-19 1037
好久没有更新博客了,今天下了班回到家,看到电脑桌上尘封已久的《Spring Boot应用开发实战》,翻开目录想起来之前写的系列【Linux服务器Java环境搭建】还未完结,那就继续吧,今天主要是按linux服务器中安装和配置redis。本系列其他文章,请查看系列【Linux服务器Java环境搭建】
(leetcode学习)110. 平衡二叉树
m0_54888411的博客
07-24 193
很久没写结构体了,复习一下。学习二叉树的通用解题方法。给定一个二叉树,判断它是否是。
RK3568 Linux 平台开发系列讲解(内核入门篇):从内核的角度看外设芯片的驱动
小灰灰的博客
07-24 26
从内核的角度看外设芯片的驱动,需要理解驱动的基本结构、设备树的使用以及内核的 I/O 机制。通过掌握这些知识,您将能够有效地开发和管理外设驱动程序。希望本文为您在 RK3568 平台的驱动开发提供了有价值的参考,欢迎继续关注后续的内容!
【嵌入式开发 Linux 常用命令系列 7.7 -- find 和 sed 配合使用介绍】
最新发布
CodingCos的博客
07-24 133
命令将文件中所有"demo" 字符串替换为 “hello”
linux中使用docker安装mongodb
qq_56661788的博客
07-20 705
v /data/mongo/config/mongod.conf:/etc/mongod.conf:将主机上的/data/mongo/config/mongod.conf文件挂载到容器的/etc/mongod.conf位置,作为 MongoDB 的配置文件。-v /data/mongo/logs:/var/log/mongodb:将主机上的/data/mongo/logs目录挂载到容器的/var/log/mongodb位置,作为 MongoDB 的日志存储目录。登录阿里云,开通容器镜像服务,进入控制台。
Linux安全加固与优化实战指南
Linux加固Linux系统加固涉及多个层面。防火墙的配置是基础,同时需要对服务如redis、MySQL和Tomcat进行特定的加固。例如,redis应避免对公网开放,设置复杂的密码,以防止弱口令攻击;MySQL则需强化密码策略,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值