Linux服务器配置系统安全加固方法

已于 2023-07-29 11:55:06 修改
阅读量3.8k 收藏 7
点赞数
分类专栏: 服务器 文章标签: linux 服务器 系统安全
于 2023-02-24 17:28:04 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/LordForce/article/details/129204755
版权


1. SSH空闲超时时间建议为: 600-900
解决方案: 在【/etc/ssh/sshd_config】文件中设置【ClientAliveInterval】设置为600到900之间

vim /etc/ssh/sshd_config #将 ClientAliveInterval 参数值设置为 900

2. 修改检查SSH密码修改最小间隔
解决方案: 在【/etc/login.defs】文件中设置 【PASS_MIN_DAYS】 参数值大于等于7,需同时执行命令设置root 密码失效时间 命令如下:

vim /etc/login.defs #将 PASS_MIN_DAYS 参数值设置为 7
chage --mindays 7 root

3. 检查SSH密码失效时间
解决方案: 使用非密码登陆方式密钥对,请忽略此项。 在【/etc/login.defs】文件中将【PASS_MAX_DAYS】参数值设置为90-180之间,需同时执行命令设置root 密码失效时间 命令如下:

vim /etc/login.defs #将 PASS_MAX_DAYS 参数值设置为 90
chage --maxdays 90 root

4. 修改 SSH 最大连接数
解决方案: 1、在【/etc/ssh/sshd_config】文件中设置【MaxAuthTries】参数值为3-5

vim /etc/ssh/sshd_config #将 MaxAuthTries 参数值设置为 3

5. 修改 SSH 密码长度要求
解决方案: 在【/etc/security/pwquality.conf】 文件中把【minlen】(密码最小长度)参数值设置为9-32位

vim /etc/security/pwquality.conf #将 minlen 参数值设置为 32

6. 修改 SSH 密码复杂度要求
在【/etc/security/pwquality.conf】文件中,把【minclass】(至少包含小写字母、大写字母、数字、特殊字符等4类字符中等3类或4类)设置为3或4。

vim /etc/security/pwquality.conf#将 minclass 参数值设置为 4

7. 内存安全-开启地址空间布局随机化
解决方案: 在【/proc/sys/kernel/randomize_va_space】 文件中,将值设置为2。
vim /proc/sys/kernel/randomize_va_space ,将值设为2。

vim /proc/sys/kernel/randomize_va_space #将值设置为 2

或者通过如下命令设置:

sysctl -w kernel.randomize_va_space=2

8. 修改 【/etc/profile】 用户缺省权限
【/etc/profile】 文件中所设置的umask为002,不符合要求,建议设置为027。

vim /etc/profile #将 umask 参数值设置为 027

9. 修改 【/etc/bashrc】 用户缺省权限
【/etc/bashrc】 文件中所所设置的umask为002,不符合要求,建议设置为027。

vim /etc/bashrc #将 umask 参数值设置为 027

10. 修改 【/etc/csh.cshrc】 用户缺省权限检查
【/etc/csh.cshrc】 文件中所所设置的umask为002,不符合要求,建议设置为027。

vim /etc/csh.cshrc #将 umask 参数值设置为 027

11. 检查 Nginx 是否存在版本泄露
解决方案: 在【/www/server/nginx/conf/nginx.conf】文件中设置server_tokens off。

vim /www/server/nginx/conf/nginx.conf #将 server_tokens 参数值设置为 off

12. 检查 PHP 是否存在版本泄露
解决方案: 在【php.ini】文件中设置【expose_php】将配置为Off。

vim /www/server/php/73/etc/php.ini #将 expose_php 参数值设置为 Off

13. 检查ls和rm命令是否设置别名
解决方案: 在【/www/server/pure-ftpd/etc/pure-ftpd.conf】文件中,修改【Umask】将配置为 177:077。

vim /www/server/pure-ftpd/etc/pure-ftpd.conf

14. 检查用户FTP访问安全配置
解决方案:

1). 在【~/.bashrc】文件中,添加或修改 alias ls='ls -alh'以及alias rm='rm -i'

~/.bashrc

2). 执行【source ~/.bashrc】使配置生效

source ~/.bashrc

15. 检查重要文件是否存在suid和sgid权限

解决方案:使用chmod u-s/g-s 【文件名】命令修改文件的权限,去除sid位

chmod u-s/g-s 【文件名】

LordForce
关注
  • 0
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Linux服务器操作系统加固方法
09-15
本帮助手册旨在指导系统管理人员或安全检查人员进行Linux操作系统的安全合规性检查和加固,需要的朋友可以参考下
SSH连接linux时,长时间不操作就断开的解决方案
小白成神路
03-12 3690
修改/etc/ssh/sshd_config文件,找到 ClientAliveInterval 0和ClientAliveCountMax 3并将注释符号("#")去掉 将ClientAliveInterval对应的0改成60 ClientAliveInterval指定了服务器端向客户端请求消息 的时间间隔, 默认是0, 不发送. ClientAliveInterval 60表示每分钟发送一次,...
Linux 系统】怎样长时间保持SSH会话连接不断开?
看图的博客
07-23 3134
最近撸了一个华为云服务器,还没有开始弄就遇到了个ssh保持长时间登录的问题。一直没有空弄,困扰了我很久了,今天终于解决了。
SSH设置超时时间
sujin的博客
04-09 6711
原文地址 操作时建议做好记录或备份 ssh连接超时问题解决方案: 1.修改server端的/etc/ssh/sshd_config ClientAliveInterval 60 #server每隔60秒发送一次请求给client,然后client响应,从而保持连接 ClientAliveCountMax 3 #server发出请求后,客户端没有响应得次数达到3,就自动断开连接,正常...
/etc/ssh/sshd_config的 PasswordAuthentication PermitRootLogin ClientAliveCountMax ClientAliveInterval
kfepiza的博客
11-10 6508
与远程登陆相关 , #PasswordAuthentication yes 这个选项允许远程登陆用密码来认证, 但加了号, 不会起作用 将前面的去掉, 变为 可以允许远程用密码登录认证#PermitRootLogin prohibit-password 设为 允许root远程登陆与远程连接保持相关 , 不直接修改, 而是在 下建立一个 Mysshd.conf 配置文件 并重启sshd.service服务 因为 的默认值就是 , 所以可以不设置 来个进入 文件夹 的命令, 方便复制 查看 文
宝塔安装和配置
最新发布
RisunJan的博客
11-29 447
1、【/etc/security/pwquality.conf】 把minclass(至少包含小写字母、大写字母、数字、特殊字符等4类字符中等3类或4类)设置为3或4。1、在【/etc/ssh/sshd_config】文件中设置【ClientAliveInterval】设置为600900之间。风险描述:【/etc/login.defs】文件中把PASS_MAX_DAYS设置为90-180之间。风险描述:【/etc/login.defs】文件中把PASS_MIN_DAYS大于等于7。
解决宝塔SSH安全风险问题
我管它叫“知勤者笔记”,主要用来记录和分享我的日常生活与学习经历
01-23 2957
解决方案:【/etc/security/pwquality.conf】 把minclass(至少包含小写字母、大写字母、数字、特殊字符等4类字符中等3类或4类)设置为3或4。1、在【/etc/ssh/sshd_config】文件中设置【ClientAliveInterval】设置为600900之间。风险描述:【/etc/login.defs】文件中把PASS_MAX_DAYS设置为90-180之间。风险描述:【/etc/login.defs】文件中把PASS_MIN_DAYS大于等于7。
宝塔中危漏洞SSH 空闲超时时间设置方法
u013194568的博客
11-29 1407
【ClientAliveInterval】设置为600900之间就可以 了!风险描述:当前SSH空闲超时时间为:0,请设置为300-900sshd_config配置文件中查找。因为小编的不怎么用所以直接设置100。检测类型:SSH 空闲超时时间检测。首先我们用宝塔面板的文件管理。
Linux SUID SGID 详解
ydt_lwj的专栏
12-06 1735
SUID、SGID、STICKY简介: 在了解特殊权限位前,先来了解一下安全上下文概念。 安全上下文: 进程运行时能够访问哪些资源或文件,不取决于进程文件的属主属组,而是取决于运行该命令的用户身份的uid/gid,以该身份获取各种系统资源。 特殊位作用: SUID:对一个可执行文件,不是以发起者身份来获取资源,而是以可执行文件的属主身份来执行。 SGID对一
使用chmod修改文件或目录权限的几种方法
freemote的博客
08-01 1万+
chmod可以改变 所属者/所属组/其他人对文件或者目录的权限。 用 ls -alh 查看文件或者目录的权限,一个文件或者目录对于所属者、所属组、其他人的权限有读、写、执行。 如上,列出的文件,第一列表示权限,其中第一个字符表示文件的类型,d代表目录,-代表文件。后面9个字符3个为一组,表示这个文件对所属者、所属组、其他人的权限。以output.txt为例:所属者的权限为:读(r)写(w)...
用户权限---u+s\g+s\o+t三个特殊权限说明
y1035793317的博客
09-24 1974
linux中一个文件有三个权限,分别时用户权限,群组权限以及其他权限,是用wrxwrxwrx表示的,w代表可写,r代表可读,x代表可执行。但在一些特殊情况中还会出现s,或者t。 这种情况主要分为三种: rwsrwxrwx 用户权限出现了s,替代了x rwxrwsrwx 群组权限出现了s,替代了x rwxrwxrwt 其他权限出现了t,替代了x 用户权限出现s的情况 执行命令是 chmod u+s , 就是针对某个程序任何用户都有读写这个程序的权限,可以像root用户一样操作,这个指令只对程序有效,如.
linux NFS 服务安全加固方法
01-10
NFS(Network File System)是 FreeBSD 支持的一种文件系统,它允许网络中的计算机之间通过 TCP/IP 网络共享资源。不正确的配置和使用 NFS,会带来安全问题。 概述 NFS 的不安全性,主要体现于以下 4 个方面: 缺少...
等保2.0测评 linux服务器加固 基本安全配置手册.docx
12-25
等保2.0测评 linux服务器加固 基本安全配置手册
实战Linux服务器安全加固培训视频
07-23
教程名称:实战Linux服务器安全加固培训视频课程目录:【】第一课linux简单介绍与安装.wmv【】第七课安装配置入侵检测系统【】第三课关闭不需要的端口.ppt【】第九课linux服务器安全之文件策略【】第二十课终结武器...
设置空闲超时选项“ClientAliveCountMax” ”ClientAliveInterval“ 参数来加强ssh连接的稳定性和安全性
Cheng_AJS_557的博客
02-20 3544
设置这两个选项的意义在于引入了试错机会: 因此,如果客户端发送心跳包,并且它们都成功,则连接可以保持活动状态,直到其中一方关闭连接。在这种情况下,心跳包仅用于重置连接计时器,而不会导致连接断开。只有在一定时间内没有收到心跳包时,服务器才会开始累计重试次数,并在重试次数达到阈值时关闭连接
Linuxsshd_config配置文件说明及实践
热门推荐
月生的静心苑
09-19 3万+
sshd_config 是 OpenSSH SSH 服务器守护进程配置文件,主要用于设置ssh server服务的相关参数,包括监听地址、监听端口、允许验证次数、是否允许root账户登录等等。sshd服务从/etc/ssh/sshd_config(或命令行中用-f指定的文件)读取配置数据。该文件包含关键字参数对,每行一对。以“#”开头的行和空行被解释为注释。参数可以用双引号(“)括起来,以表示包含空格的参数。改配置文件,只有root账户或者拥有root权限的账户可以配置和修改,配置文件修改后,重启sshd服
Linux chmod命令修改文件与文件夹权限命令代码
XUDC的程序人生
03-28 505
Linux chmod命令修改文件与文件夹权限命令代码 在Linux中要修改一个文件夹或文件的权限我们需要用到linux chmod命令来做,下面我写了几个简单的实例大家可参考一下。 语法如下: chmod [who] [+ | - | =] [mode] 文件名 命令中各选项的含义为 u 表示“用户(user)”,即文件或目录的所有者。 g 表示“同组(group)用户”,即与文件属主有相同组I...
chmod ug s oracle,Linux chmod设置目录和文件不同权限
weixin_36260323的博客
04-05 239
法:chmod [who] [+ | - | =] [mode] 文件名命令中各选项的含义为u 表示“用户(user)”,即文件或目录的所有者。g 表示“同组(group)用户”,即与文件属主有相同组ID的所有用户。o 表示“其他(others)用户”。a 表示“所有(all)用户”。它是系统默认值。操作符号可以是:+ 添加某个权限。- 取消某个权限。= 赋予给定权限并取消其他所有权限(如果有的话...
ssh服务端核心配置文件sshd_config详解
杨群的博客
12-18 7837
sh服务端核心配置文件sshd_config详解,常用参数说明
linux系统ubuntu安全加固
09-07
针对Linux系统Ubuntu的安全加固,可以采取以下措施: 1. 升级系统:使用命令`apt update`和`apt upgrade`来更新系统和安装最新的软件包,以修复已经发现的漏洞和安全问题。 2. 设置密码失效时间和身份鉴别:可以通过编辑文件`/etc/login.defs`来设置密码失效时间,强制用户定期更新密码。另外,可以通过配置文件`/etc/ssh/sshd_config`,将`PermitEmptyPasswords`设置为`no`,禁止SSH空密码用户登录。 3. 强制使用SSH V2安全协议:编辑文件`/etc/ssh/sshd_config`,将`Protocol`配置为`2`,强制SSH服务使用V2安全协议。这样可以提高SSH连接的安全性。 4. 随机化进程内存空间地址:通过设置参数`kernel.randomize_va_space`为`2`,可以使进程的内存空间地址随机化,增加入侵者预测目的地址的难度,从而降低进程被成功入侵的风险。可以在文件`/etc/sysctl.conf`或`/etc/sysctl.d/*`中设置该参数,并执行命令`sysctl -w kernel.randomize_va_space=2`使其生效。 通过以上措施,可以加固Linux系统Ubuntu的安全性,提高系统的抵抗能力和安全性。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* *2* *3* [ubuntu 服务器安全加固的20条方案](https://blog.csdn.net/RichDevos/article/details/130344942)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_1"}}] [.reference_item style="max-width: 100%"] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值