Linux系统安全配置

最新推荐文章于 2024-04-22 21:52:29 发布
最新推荐文章于 2024-04-22 21:52:29 发布
阅读量1.8k 收藏 2
点赞数
分类专栏: Linux 文章标签: Linux CentOS
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/IChameleon/article/details/81773918
版权

以下内容均在CentOS 7下进行操作

账号

查看登录日志

/var/run/utmp:记录当前正在登录系统的用户信息,默认由whow记录当前登录用户的信息,uptime记录系统启动时间;

/var/log/wtmp:记录当前正在登录和历史登录系统的用户信息,默认由last命令查看;

/var/log/btmp:记录失败的登录尝试信息,默认由lastb命令查看。

 

ROOT用户安全方案

  1. 禁止ROOT远程登陆(因为没有物理管理的条件,这一条就没有意义)
  2. 修改ROOT权限,把ROOT修改为普通用户权限,把一个普通用户修改为ROOT权限。

注意:经过比较简单的测试发现修改ROOT的用户名或者权限标记都导致了系统不能正常启动;通过测试的只有修改(ROOT的登录方式为Nologin,再为一个普通用户修改权限标记为0;重启后达到效果ROOT用户名无法登录、被修改的普通用户登录后系统显示为root)

 

#以下是修改后的内容

root:x:0:0::/root:/sbin/nologin

huojun:x: 0:0::/home/huojun:/bin/bash

 

使用普通用户操作

#新增普通用户

useradd xcc

#设置密码

passwd xcc

#新增的用户在/home中有自己对应名称的文件夹

#把普通用户分配到同一个组,以便相同的权限

#修改/etc/passwd

huojun:x:1000:1000::/home/huojun:/bin/bash

xcc:x:1000:1000::/home/huojun:/bin/bash

#修改权限,文件及目录的所有者可以修改

#chmod 777 /home/huojun #给予全部权限

#chmod 770 /home/huojun #只给予所有者和对应组有全部权限

 

#如果需要普通用户管理应用服务器及项目,需要注意一下

#1.如果想要多人管理同一项目,最好把他们分到同一个组,使其所在目录开通组权限

#2.如果不想不相干的人进入,最好关闭游客权限

#3.如要要正常启动服务,则应用及服务所用到的所有目录都必须让启动则拥有全部权限

 

#以下例子与上述内容为标准,普通用户只有/home/huojun目录的权限

#SpringBoot Jar项目为例

#Jar文件必须放在/home/huojun文件中

#Jar项目中涉及到需要操作系统目录及文件的地方也必须在/home/huojun,一般包括日志文件、上传下载的文件

 

#Tomcat War项目为例

#Tomcat 及对应的项目必须放在/home/huojun文件中

#项目中涉及到需要操作系统目录及文件的地方也必须在/home/huojun

 

 

 

 

设置密码时间

为普通用户设置密码的最大修改时间,保证所有的普通用户即时更新密码,如果用户长期不用则会被禁止登陆。来达到对普通用户的安全管理

 

vim /etc/shadow

root(用户):$6$Dk1P.79EyYpRW4me$NvmMatdSAsAENx9yxS8/ZYC3d7h4dZni7mcDA69ZQmHGfBBHJuHluZYg2HPJ1jDwRaS5z5QA0YeRFECCKmy3A(加密后的密码)/:15846(最后一次修改密码的时间):0(最小修改密码时间):99999(最大修改密码时间,一般设置为30天):7(提醒密码修改时间):::

修改普通用户的最大修改密码时间:30

 

使用固定IP登录

方法一:

vim /etc/ssh/sshd_config

添加一行:

allowusers xxx@114.80.100.159

注:xxx为你用来登入服务器的用户名,可以为多个用户添加多个IP地址

 

考虑到大多数的服务器都是已托管的方式放在机房,不具备物理上的管理安全性质,暂不使用

使用SSH秘钥认证登录

考虑到多用户维护成本的问题,暂不使用SSH秘钥认证登录

SSH端口

修改SSH登录端口,可以有效防止非法的尝试登陆

vi /etc/ssh/sshd_config //找到Port 22 修改为自定义的端口

 

注意:记得在防火墙中开放此端口

PING请求

不再响应PING请求,立即生效

echo 1> /proc/sys/net/ipv4/icmp_echo_ignore_all

关闭SELinux

这是一个控制安全策略的内核安全机制,因为与现有的应用不兼容所以不使用,再对其深入研究后再使用也不迟

查看SELinux状态:

getenforce

 

关闭SELinux:修改SELINUX=enforcing为SELINUX=disabled

vi /etc/sysconfig/selinux

 

 

防火墙

防火墙使用的是Firewall,暂不提供IPtable

firewall-cmd --state ##查看防火墙状态,是否是running

firewall-cmd --list-all //查看防火墙规则,可查到你当前开放的端口信息  

firewall-cmd --zone=public --add-port=8888/tcp --permanent //为防火墙添加端口

注意:使用systemctl重启防火墙

IChameleon
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
linux系统安全配置要求
03-27
linux系统安全配置要求
linux系统安全配置基线
07-27
linux系统安全配置基线,linux安全加固手册,linux系统安全防护,系统安全防护,linux系统维护,linux系统安全维护
Linux系统安全及应用
最新发布
F12138X的博客
04-22 1462
不积跬步无以至千里
一些常用linux的安全设置
m0_61394395的博客
11-12 382
Linux系统的安全设置是确保系统免受未经授权访问和恶意攻击的重要一环。
Linux 系统安全
m0_72359405的博客
06-27 360
系统安全:非常重要对于个人,对于企业1.数据安全,主要就是防止个人的敏感信息被窃取、盗用、破坏。2.企业法律法规要求。3.企业形象。1.usermod -s /sbin/nologin 用户名 #限制用户登录生产服务器一般人接触不到,测试环境,预生产环境 程序用户做限制。
Linux操作系统安全配置(一)
Laissez_faire的博客
08-02 3430
各种基本的Linux命令来供你学习,帮你在各种Linux发行版中完成各种任务。虽然不是很详细,但是对Linux初学者,或普通用户,或管理员都是很有用的。
Linux 安全设置手册
cncy94258的博客
08-29 119
1、Bios Security 一定要给Bios设置密码,以防通过在Bios中改变启动顺序,而可以从软盘启动。这样可以阻止别人试图用特殊的启动盘启动你的系统,还可以阻止别人进入Bios改动其中的设置(比如允许通过软盘启动等)。 ...
Linux 服务器安全配置(上篇)
热门推荐
ZCatLinux --资讯与技术社区--Open Source World----Linux/Shell/DevOPS--
11-14 2万+
下面是我最近新整理出的一份日志,希望大家喜欢!虽然这些都是老声常谈,但都是我亲手整理过的,我愿意奉献给大家!希望大家多提意见!----zcatlinux第一部分:RedHat Linux篇1.概述Linux服务器版本:RedHat Linux AS 2.1对于开放式的操作系统---Linux,系统的安全设定包括系统服务最小化、限制远程存取、隐藏重要资料、修补安全漏洞、采用安全工具以及经常性的安全检
linux系统安全配置
嘟的博客
09-30 1277
title: linux系统安全配置 tags: linux categories: linux 用户管理 1.删除系统特殊的用户账号和组账号 查看系统所有用户名cat /etc/passwd 删除用户jaie命令userdel jaie 2.用户密码设置 编辑login.defs文件vim /etc/login.defs 3.修改自动注销账户的时间 ...
让你的linux操作系统更加安全
09-01 373
BIOS安全  记着要在BIOS设置中设定一个BIOS密码,不接收软盘启动。这样可以阻止不怀好意的人用专门的启动盘启动你的Linux系统,并避免别人更改BIOS设置,如更改软盘启动设置或不弹出密码框直接启动服务器等。  LILO安全  在“/etc/lilo.conf”文件中添加3个参数:time-out、restricted 和 password。这些选项会在启动时间(如“linux
linux安全基本配置
m0_38139137的博客
05-24 3966
一、历史记录history 1.清空历史命令(缓存) history -c 2.清空历史命令文件 [root@localhosts]# > ~/.bash_history 二、用户最近登录历史查询 lastlog ##只显示用户是否登录和最后一次登录时间 last ## 显示用户登录终端的具体内容 三、设置用户登录有效期 chage –l 账户名称...
Linux操作系统安全配置和管理
01-25
Linu操作系统安全配置和管理
Linux安全配置
09-19
Linux操作系统网络安全配置指令和方法
Linux操作系统安全配置
03-04
这个是腾讯内部培训资料,非常好的一篇介绍关于linux系统安全配置的文档,很实用。
Linux系统安全配置指南(基线).pdf
09-13
...
linux系统安全配置要求.docx
09-13
施工劳务协议.pdf
Linux安全配置步骤大全
weixin_34082177的博客
08-18 172
一、磁盘分区1、如果是新安装系统,对磁盘分区应考虑安全性:1)根目录(/)、用户目录(/home)、临时目录(/tmp)和/var目录应分开到不同的磁盘分区;2)以上各目录所在分区的磁盘空间大小应充分考虑,避免因某些原因造成分区空间用完而导致系统崩溃;2、对于/tmp和/var目录所在分区,大多数情况下不需要有suid属性的程序,所以应为这些分区添加nosuid属性;方法一:...
Linux系统安全之安全配置
dai451954706的专栏
07-31 997
作为一个系统管理员来说,定期对系统作一次全面的安全检查很重要的,最近遇到一些朋友来信说出现了一些莫名其妙的问题,例如最大的一个问题就是明显感觉网络服务缓慢,这极有可能是被攻击的现象。   实践证明,无论是那种系统,默认安装都是不安全的,实际不管你用windows也好,Linux,bsd或其他什么系统,默认安装的都有很多漏洞,那怎么才能成为安全的系统呢,这正是我们系统管理人员需要做的事情。配置配置

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值