目录
引出
Linux进阶——系统安全,重要文件,加固系统的相关配置
Linux系统安全
一、重要文件
/etc/passwd #记录本地用户的属性信息,如UID、GID
/etc/shadow #存放用户的口令信息 只有系统管理员能查看
/etc/pam.d/system-auth #账户安全配置文件
/etc/login.defs #修改登录的配置文件
/etc/profile #Linux全局变量信息
/etc/ssh/sshd_config #ssh服务配置文件
/etc/hosts.allow 与 /etc/hosts.deny #控制外部主机对本机服务的访问
二、帐户口令
- 删除不需要的用户与组,锁定暂时不需要的用户。
userdel 用户 #删除用户
groupdel 用户组 #删除用户组
passwd -l 用户名 #锁定不必要的用户
passwd -u 用户名 #解锁需要恢复的用户
- 检查非root账号uid是否为0。
awk -F: '($3 == 0) { print $1 }' /etc/passwd
- 检查是否有空口令账号。
awk -F: '($2 == "") { print $1 }' /etc/shadow
- 设置口令策略。
1.修改 /etc/login.defs
PASS\_MIN\_LEN 12 #最小密码长度设置为12位
PASS\_MAX\_DAYS 90 #设置用户的密码最长使用天数
2.修改 /etc/pam.d/system-auth passwd requisite pam_cracklib.so retry=5 difok=3 ucredit=-1 lcredit=-1 dcredit=-1
上述命令意义:
retry=5 #尝试次数:5
difok=3 #最少不同字符:3
ucredit=-1 #最少大写字母:1
lcredit=-1 #最少小写字母:1
dcredit=-1 #最少数字:1
- 配置帐户认证失败锁定。
#修改 /etc/pam.d/system-auth
auth required pam.tally.so onerr=fail deny=5 unlock_time=1800 even_deny_root root_unlock_time=1800 onerr=fail deny=5 #登录连续 5 次失败
unlock_time=1800 #普通用户锁定时间1800秒
even_deny_root #root用户也进行认证锁定
root_unlock_time=1800 #root用户锁定时间1800秒
- 终端超时配置
echo "export TMOUT=600">>/etc/profile #超时时间为十分钟
三、权限管理
- 初始化文件权限
#修改 /etc/profile
umask=027 #设置其他用户无改文件的任何权限
#文件夹默认权限777,文件默认666,减去umask值
- 限制能够 su 为 root 的用户
#修改/etc/pam.d/su
auth required /lib/security/pam_wheel.so group=wheel #只允许wheel组的用户su到root
- 控制sudo权限,确保只有root用户拥有所有权限
#打开/ect/sudoers 文件
root ALL=(ALL:ALL) ALL
四、日志配置
-
日志文件:
- /var/log/lastlog 最后一次用户成功登陆的信息,时间、登陆IP等。
- /var/log/messages 常见的系统和服务错误信息。
- /var/log/secure Linux系统安全日志,记录用户和工作组变换情况,用户登陆认证情况。
- /var/log/syslog 只记录警告信息,lastlog查看。
- /var/log/cron 记录定时任务的信息。
- /var/log/btmp 记录Linux登陆失败的信息,lastb查看。
- /var/log/wtmp 该日志文件永久记录每个用户登录、注销及系统的启动、停机的事件,last查看。
-
syslog服务是否启用,并查看相关配置
ps –aef | grep syslog #确认syslog是否启用
cat /etc/syslog.conf #查看日志相关配置,各日志文件存放位置
五、服务安全
-
SSH服务
- 使用非常规的SSH端口
#修改配置文件/etc/ssh/sshd_config Port 223- 限制能够SSH登录的用户,禁止root账户远程登录。
#修改配置文件/etc/ssh/sshd_config PermitRootLogin no #禁止root账户远程登录 Allowusers test #允许test用户可以远程登录- 屏蔽登录banner信息。
#修改配置文件/etc/ssh/sshd_config banner NONE #也可修改 /etc/motd 文件内容,其内容将作为banner信息显示给登录用户- 允许指定IP进行ssh。
#修改/etc/hosts.allow文件 sshd:192.168.1.120:allow #允许192.168.1.120使用ssh连接- 禁止所有IP使用ssh连接
#修改/etc/hosts.deny sshd:ALL- 使用秘钥进行 ssh 登录
# 1.修改要远程的主机的 /etc/ssh/sshd_config 开启rsa与公钥认证,并指定认证秘钥存放位置 RSAAuthentication yes PubkeyAuthentication yes AuthorizedKeysFile .ssh/authorized_keys # 2.本地主机生成密钥,会生成 id_rsa 与 id_rsa.pub ssh-keygen -t rsa # 3.在远程主机上指定用户的家目录下创建.ssh/目录 cd ~ mkdir .ssh # 4.将 id_rsa.pub 放于远程主机下的.ssh/目录目录下,并更改文件名 mv id_rsa.pub authorized_keys- 升级SSH版本
yum update openssh -y
-
停用或禁用不必要的服务
查看所有服务的自启情况:
# centos7 查看所有服务自启情况
systemctl list-unit-files
# centos6 查看所有服务自启情况
chkconfig --list
六、其他配置
-
防火墙配置
- 查看防火墙是否开启。
#查看iptables是否开启 service iptables status #查看firewalld是否开启 systemctl status firewalld- 根据需要开放端口,不需要的端口不开放。
#使用iptables将tcp 80端口开放 iptables -I INPUT -p tcp --dport 80 -j ACCEPT #注:iptables需要保证在规则表的最后添加有拒绝所有连接的规则 iptables -A INPUT -j DROP #使用firewalld将tcp 80端口开放 firewall-cmd --add-port=80/tcp
最全的Linux教程,Linux从入门到精通
======================
-
linux从入门到精通(第2版)
-
Linux系统移植
-
Linux驱动开发入门与实战
-
LINUX 系统移植 第2版
-
Linux开源网络全栈详解 从DPDK到OpenFlow
第一份《Linux从入门到精通》466页
====================
内容简介
====
本书是获得了很多读者好评的Linux经典畅销书**《Linux从入门到精通》的第2版**。本书第1版出版后曾经多次印刷,并被51CTO读书频道评为“最受读者喜爱的原创IT技术图书奖”。本书第﹖版以最新的Ubuntu 12.04为版本,循序渐进地向读者介绍了Linux 的基础应用、系统管理、网络应用、娱乐和办公、程序开发、服务器配置、系统安全等。本书附带1张光盘,内容为本书配套多媒体教学视频。另外,本书还为读者提供了大量的Linux学习资料和Ubuntu安装镜像文件,供读者免费下载。
本书适合广大Linux初中级用户、开源软件爱好者和大专院校的学生阅读,同时也非常适合准备从事Linux平台开发的各类人员。
需要《Linux入门到精通》、《linux系统移植》、《Linux驱动开发入门实战》、《Linux开源网络全栈》电子书籍及教程的工程师朋友们劳烦您转发+评论
网上学习资料一大堆,但如果学到的知识不成体系,遇到问题时只是浅尝辄止,不再深入研究,那么很难做到真正的技术提升。
一个人可以走的很快,但一群人才能走的更远!不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人,都欢迎加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!
1045
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
