强化CentOS安全防线:如何有效应对常见安全威胁,2024年最新字节跳动8年老网络安全面试官经验谈

最新推荐文章于 2024-04-28 04:26:18 发布
最新推荐文章于 2024-04-28 04:26:18 发布
阅读量885 收藏 10
点赞数 20
分类专栏: 2024年程序员学习 文章标签: 安全 centos web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2401_84240189/article/details/137631097
版权
    • 禁用root账户远程登录,使用普通用户登录后再切换到root账户
  • 修改SSH默认端口以避免暴露在常见攻击下
  • 启用公钥认证,禁用密码登录
  • 配置SSH参数限制登录尝试次数,禁止空闲超时连接等

设置访问控制列表(ACL)

  • 在文件系统上设置 ACL,控制用户对文件和目录的访问权限
  • 使用 getfacl 和 setfacl 命令来查看和设置 ACL
  • 为敏感文件和目录设置更严格的 ACL 权限,以限制未经授权的访问

更新和管理软件包

及时更新和有效管理定期使用安全工具软件管理和更新软件包,也是比较容易做到的,也是提高系统安全性的有效措施之一:

定期更新系统补丁

使用yum命令(或者dnf命令,适用于较新版本)来更新系统补丁。例如,要更新所有可用的安全补丁,可以执行以下命令:

sudo yum update

设置自动更新任务,编辑cron作业表以创建定期任务,确保系统能够自动应用最新的安全补丁。通过编辑 /etc/crontab 文件或者使用 crontab -e 命令来添加相应的定时任务。

使用软件包管理工具进行软件的安装和管理

使用yum(Yellowdog Updater Modified)或者dnf(Dandified Yum)作为软件包管理器。例如,要通过yum安装一个软件包,可以执行以下命令:

sudo yum install package_name

或者

sudo dnf install package_name

通过编辑/etc/yum.repos.d/目录下的配置文件,配置软件源来管理可用的软件包来源。例如,编辑CentOS-Base.repo文件以启用或禁用特定的软件源。

使用软件包管理工具检查已安装软件包的版本,并及时进行升级以修复潜在的漏洞。例如,要检查是否有可用的软件包更新,可以执行以下命令:

sudo yum check-update

确保只从受信任的软件源安装软件包,以避免安全风险。验证软件源的GPG密钥,确保所安装的软件包都来自合法和受信任的来源。

配置防火墙和网络安全设置

在配置防火和网络安全设置方面,也可以下面这些内容着手:

使用iptables或firewalld配置防火墙规则

  • 使用iptables配置防火墙规则:

允许特定端口的流量:例如,要允许SSH流量通过防火墙,可以执行以下命令:

sudo iptables -A INPUT -p tcp --dport 22 -j ACCEPT

拒绝特定IP地址的流量:例如,要拒绝来自特定IP地址的流量,可以执行以下命令:

sudo iptables -A INPUT -s <IP_address> -j DROP

  • 使用firewalld配置防火墙规则:

允许特定服务:例如,要允许HTTP服务,可以执行以下命令:

sudo firewall-cmd --zone=public --add-service=http --permanent
sudo firewall-cmd --reload

封锁特定端口:例如,要封锁SMTP服务,可以执行以下命令:

sudo firewall-cmd --zone=public --remove-service=smtp --permanent
sudo firewall-cmd --reload

设置网络访问控制列表(ACL)

  • 针对文件系统 ACL:

使用 getfacl 命令查看文件或目录的 ACL 信息。例如,要查看特定文件的 ACL 信息,可以执行以下命令:

getfacl /path/to/file

使用 setfacl 命令来设置文件或目录的 ACL 权限。例如,为用户alice授予对文件的读写权限,可以执行以下命令:

setfacl -m u:alice:rw /path/to/file

  • 针对网络服务 ACL:

在Nginx的配置文件中进行访问控制列表的设置。例如,在Nginx的配置文件中,可以配置允许或拒绝特定IP地址或IP段的访问。这通常通过在 Nginx 配置文件中的 server 块内使用 allow 和 deny 指令来实现。

配置SELinux以提高系统安全性

  • 启用SELinux:编辑 /etc/selinux/config 文件,确保 SELINUX 设置为 enforcing 或 permissive,然后重新启动系统以应用更改。示例:

SELINUX=enforcing

  • 设置SELinux策略:使用 semanage 命令为特定文件或目录设置 SELinux 策略。例如,要为 /web 目录设置 httpd_sys_content_t 类型的策略,可以执行以下命令:

sudo semanage fcontext -a -t httpd_sys_content_t “/web(/.*)?”
sudo restorecon -Rv /web

  • 查看SELinux状态和日志:使用 sestatus 命令来检查 SELinux 的当前状态。示例:

sestatus

此外,可以使用 ausearch 命令和查看 /var/log/audit/audit.log 文件来了解 SELinux 事件和警告。例如,可以执行以下命令查看最近的SELinux事件:

sudo ausearch -m avc -ts recent

监控和日志记录

配置并使用日志记录工具

选择合适的日志记录工具

选择适合您系统的日志记录工具,如rsyslog、syslog-ng等,并根据需求进行配置。

配置日志记录

  • 确定要记录的日志类型,包括系统日志、安全日志、应用程序日志等。
  • 配置日志记录级别和目标存储位置,确保记录足够详细的信息以便后续分析。

日志分析和存储

  • 实施对日志的实时分析和存储,可以考虑使用ELK(Elasticsearch、Logstash和Kibana)等工具来进行集中式日志管理和分析。
  • 设立合理的存储策略,确保日志数据能够长期保存并满足合规性要求。

实施监控和警报机制

  • 建立监控系统,对关键日志事件设置实时警报机制,及时发现异常情况。
  • 确保对重要日志进行定期审查,并采取相应的响应措施。
设置入侵检测系统(IDS)和入侵防御系统(IPS)

选择合适的IDS/IPS系统

选择适合您网络环境和需求的IDS/IPS产品或解决方案,例如Snort、Suricata、或商业化的IDS/IPS产品。

部署和配置

  • 部署IDS传感器或IPS设备,确保其能够监测和防御整个网络的流量。
  • 配置IDS/IPS规则,以识别和应对特定类型的攻击和异常行为。

实施实时监控

  • 实施对IDS/IPS系统的实时监控,确保其正常运行并能够有效地检测和阻止潜在的攻击。
  • 针对IDS/IPS产生的警报进行及时处理和响应。

更新和优化规则

  • 定期更新IDS/IPS规则库,以捕获最新的威胁和攻击模式。
  • 根据实际情况对规则进行优化和定制,以减少误报和提高检测效率。

数据加密和备份

当涉及到数据加密和备份时,可以考虑从以下两个方面开始:

设置数据加密

  • 使用GNU Privacy Guard(GPG)进行文件加密:

加密文件:使用以下命令对文件进行加密,并指定接收者的公钥:

自我介绍一下,小编13年上海交大毕业,曾经在小公司待过,也去过华为、OPPO等大厂,18年进入阿里一直到现在。

深知大多数网络安全工程师,想要提升技能,往往是自己摸索成长,但自己不成体系的自学效果低效又漫长,而且极易碰到天花板技术停滞不前!

因此收集整理了一份《2024年网络安全全套学习资料》,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友。
img
img
img
img
img
img

既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,基本涵盖了95%以上网络安全知识点,真正体系化!

由于文件比较大,这里只是将部分目录大纲截图出来,每个节点里面都包含大厂面经、学习笔记、源码讲义、实战项目、讲解视频,并且后续会持续更新

如果你觉得这些内容对你有帮助,可以添加VX:vip204888 (备注网络安全获取)
img

还有兄弟不知道网络安全面试可以提前刷题吗?费时一周整理的160+网络安全面试题,金九银十,做网络安全面试里的显眼包!

王岚嵚工程师面试题(附答案),只能帮兄弟们到这儿了!如果你能答对70%,找一个安全工作,问题不大。

对于有1-3年工作经验,想要跳槽的朋友来说,也是很好的温习资料!

【完整版领取方式在文末!!】

93道网络安全面试题

内容实在太多,不一一截图了

黑客学习资源推荐

最后给大家分享一份全套的网络安全学习资料,给那些想学习 网络安全的小伙伴们一点帮助!

对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。

😝朋友们如果有需要的话,可以联系领取~

1️⃣零基础入门
① 学习路线

对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。

image

② 路线对应学习视频

同时每个成长路线对应的板块都有配套的视频提供:

image-20231025112050764

2️⃣视频配套工具&国内外网安书籍、文档
① 工具

② 视频

image1

③ 书籍

image2

资源较为敏感,未展示全面,需要的最下面获取

在这里插入图片描述在这里插入图片描述

② 简历模板

在这里插入图片描述

因篇幅有限,资料较为敏感仅展示部分资料,添加上方即可获取👆

一个人可以走的很快,但一群人才能走的更远。不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人,都欢迎扫码加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!
img

https://i-blog.csdnimg.cn/blog_migrate/f29cda892905b0d3d222aeaf1a326383.png#pic_center)

② 简历模板

在这里插入图片描述

因篇幅有限,资料较为敏感仅展示部分资料,添加上方即可获取👆

一个人可以走的很快,但一群人才能走的更远。不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人,都欢迎扫码加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!
[外链图片转存中…(img-NoCyeZeU-1712804225727)]

2401_84240189
关注
专栏目录
网络安全自学教程》- Linux应急响应排查思路
wangyuxiang946的博客
05-29 5万+
结合实战案例逐步讲解Linux应急响应排查思路。
网络安全笔记——第六天:安装和配置 CentOS 7
m0_62614507的博客
03-06 4492
网络安全学习的第一天——安装CentOS7系统的虚拟机
【史上最全】centOS/Linux系统安全加固方案手册
sophiasofia的博客
02-02 4155
Linux/centOS安全加固方案,按照本方案进行的加固安全可顺利通过一般的安全扫描工具。
Centos 软件防护DDOS攻击
u014297752的博客
10-13 1206
查看DDOS攻击的IP netstat -ntu | awk '{print $5}' | cut -d: -f1 | sort | uniq -c | sort -n#查看访问量最多的IP
CentOS 服务器安全设置_centos qsub csdn
最新发布
2401_84281655的博客
04-28 191
实际上,很多人一般不会需要这么多虚拟控制台的,修改/etc/inittab ,注释掉那些你不需要的。由于系统与硬件的兼容性问题,有可能升级内核后导致服务器不能正常启动,这是非常可怕的,没有特别的需要,建议不要随意升级内核。三、禁止非root用户执行/etc/rc.d/init.d/下的系统命令。注意:不建议直接删除,当你需要某个用户时,自己重新添加会很麻烦。七、使用yum update更新系统时不升级内核,只更新软件包。四、给下面的文件加上不可更改属性,从而防止非授权用户获得权限。五、限制不同文件的权限。
强化CentOS安全防线:如何有效应对常见安全威胁
凡夫编程
03-09 1609
探索CentOS系统安全的世界,了解如何从容应对常见安全威胁。本文深入解析了强化CentOS安全防线的实用技巧和关键策略,帮助你建立稳固的网络防护体系。无论你是初入安全领域的新手还是经验丰富的专业人士,相信都能从中获取宝贵经验。如果你也比较关心网络安全,不妨一读!
CentOS fail2ban 安全防护加固 —— 筑梦之路
筑梦之路
07-15 1322
CentOS fail2ban安全防护加固——筑梦之路。
【愚公系列】202402月 《网络安全应急管理与技术实践》 018-网络安全应急技术与实践(主机层-Liunx)
热门推荐
时光隧道
02-12 8万+
Linux主机层安全是指在Linux操作系统的主机层实施的一系列安全措施和策略,用于保护Linux主机免受各种安全威胁和攻击的影响。措施描述使用最新的操作系统和软件版本及时更新操作系统和软件补丁,以修复已知的安全漏洞配置强密码策略设置复杂的密码要求,如密码的长度、复杂度要求等,避免使用弱密码禁用不必要的服务关闭或禁用不需要的网络服务,减少攻击面防火墙配置配置防火墙规则,只允许必要的网络流量进入主机定期备份数据定期备份重要的数据,并将备份数据存储在安全的位置限制用户权限。
2022陕西省职业院校技能大赛中职组网络安全赛项规程
Jay
04-23 1万+
2022陕西省职业院校技能大赛中职组 网络安全赛项规程 一、赛项名称 赛项名称:网络安全 赛项归属: 信息技术类 二、竞赛目的 为检验中职学校网络信息安全人才培养成效,促进网络信息安全专业教学改革,培养大批既满足国家网络安全战略需要有具备世界水平的优秀技能人才,在社会上营造“技能改变命运、匠心成就人生”的崇尚技能的氛围,国家教育部联合多部委联合特举办本赛项。 (一)检验教学成效 竞赛内容涵盖了网络信息安全行业企业岗位对学生职业技能的最新要求,竞赛过程为完整工作任务的具体实施,竞赛评价标准符
2022 广西职业院校技能大赛中职组《网络安全》赛项竞赛规程
Jay
02-16 7271
2022 广西职业院校技能大赛 中职组《网络安全》赛项 竞赛规程 一、赛项名称 赛项序号:27 赛项名称:网络安全 赛项组别:中职组 赛项归属产业:电子信息大类 二、竞赛目的 通过本项目竞赛,使中职学生能熟练运用网络信息安全技术 对网络、操作系统、应用、服务器等目标进行信息和数据安全防 护与渗透,具有分析、处理现场安全问题的能力,促进学生团队 协作实践能力,引导中等职业学校关注网络安全技术发展趋势和 产业应用方向,促进专业建设与教学改革;推进中职学校与相
CentOS7服务器基本安全防护
H小阿飞的博客
06-30 2099
一.前言: 这个只是个人笔记,方便日后查阅,若有错误,欢迎同行帮忙纠正1.最近买的腾讯云和阿里云服务器均受到攻击,以前不懂安全防护这方面,所以也没在意。由于这次查看腾讯云上面的一个java web项目日志发现,有很多请求php文件的日志,都被springmvc的拦截器给拦截了,当时看到这么多请求php文件的消息,心里倒没咋慌,因为那台只是测试服务器,心里倒是欣喜了一下,这下可以就地的实际解决...
Centos7 SSH安全防护---系统安全管家
weixin_34211761的博客
08-11 357
Centos7 SSH安全防护---系统安全管家我们在日常的办公中,会在自己的手机或者电脑上安装一些管理软件,依我个人来说吧~我手机上安装了QQ安全中心、淘宝安全中心及其他软件的管家等,说到底这些功能的目的就是为了检测及保护我们对应的应用服务,所以在安全及功能上大家相对比较认可的 ,同样,我们今天介绍Centos7的系统安全管家一样,需要对我们的系统登录进行保驾护航,到底是怎...
CentOS服务器防暴力破解
Dandelion
01-03 4421
首先解释一下什么是暴力破解,对于购买过服务器的人可能了解一些 暴力破解或称为穷举法,是一种针对于密码的破译方法,即将密码进行逐个推算直到找出真正的密码为止。例如一个已知是四位并且全部由数字组成的密码,其可能共有10000种组合,因此最多尝试10000次就能找到正确的密码。理论上利用这种方法可以破解任何一种密码,问题只在于如何缩短试误时间。有些人运用计算机来增加效率,有些人辅以字典来缩小密码组合的
centos7公网系统安全策略防攻击配置集合(持续更新)
visket2008的专栏
06-21 2457
centos7公网安全策略配置大全
CentOS7系统的网络防护
Shass的博客
11-27 1285
CentOS7系统的网络防护 1、Linux运行级别 系统在运行过程中提供的功能/资源组合方式-不同级别,提供的服务不一样 主要运行级别 rescue.target //救援模式,需要修复系统时用 multi-user.target //多用户模式,无桌面 graphical.target //图形模式 1)检查任务数量 找出某个名称的进程及ID信息:pgrep -l 关键词 [root@centos7 ~]# pgrep -l httpd //列出进程名包含httpd的任务 114655 http
CentOS6 主机安全加固策略
VincentQB的博客
04-24 3991
简单说明 讨厌做安全加固!讨厌做安全加固!讨厌做安全加固! 然后花了将近两天时间整理实验了最近几做过的安全加固项 还有很多可以做的安全加固项没有整理出来,以后逐步添加吧… 本篇博文是为了应付检查的加固项汇集,关键词是应付检查 系统密码相关的加固策略 1° 系统密码加固策略: cp -av /etc/login.defs{,.source} # 原文件备份 sed -i 's...
CentOS 7服务器安全配置(未完待续)
zosoyi的博客
11-07 8699
1.问题背景本打算买一个Linux服务器玩玩,系统为CentOS 7,供学习Linux和线上部署网站学习用。没想到买了没几天,啥都没做呢,登录之后发现了近2万条登录失败记录(输入lastb命令即可查看登入系统失败的用户相关信息)。什么?有人想通过暴力破解密码来登录我的服务器?!并且大量的攻击来自同一个ip地址。作为一个Linux小白,差点被吓尿了,网络真危险啊。不过虽然是小白,也不甘示弱,有攻击就要
Centos7十五项安全加固标准配置(阿里云标准安全基线检查)
chaishen10000的专栏
05-13 3411
一、检查系统空密码账户 | 身份鉴别 描述 检查系统空密码账户 加固建议 为用户设置一个非空密码,或者执行passwd -l <username>锁定用户 操作时建议做好记录或备份 二、禁止SSH空密码用户登录 | SSH服务配置 描述 禁止SSH空密码用户登录 加固建议 编辑文件/etc/ssh/sshd_config,将PermitEmptyPasswords配置为no: PermitEmptyPasswords no 操作时建议做好记录或备份 三、设置密码失效时间 | 身份鉴别 描述 设置
CentOS简单配置防御ddos攻击
println小强的博客
10-26 5725
DDOS这种攻击的目的就是在短时间内制造数量巨大的并发连接,从而使用服务器down机或消耗掉网络带宽和系统资源导致正常用户无法正常访问浏览网站。 DoS Deflate 是一个轻量级阻止拒绝服务攻击的bash shell脚本。我们可以通过安装他并且简单配置来防御DDOS攻击。 首先安装命令: wget http://www.inetbase.com/scripts/ddos/instal
CentOS8/RedHat8安全升级:OpenSSH 9.2p1二进制rpm包
CentOS8和RedHat8的生命周期分别为10,这意味着它们会在发布后的10内接收到安全更新和新功能。由于生命周期的存在,用户需要定期更新软件包来保证系统安全和兼容最新标准。 10. 版本升级: 在软件维护和生命...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值