Linux安全基线检查与加固-服务管理

已于 2023-10-04 13:46:09 修改
阅读量434 收藏 1
点赞数
分类专栏: Linux 文章标签: linux 安全 服务器
于 2023-10-01 14:46:50 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Sgirll/article/details/133459355
版权

  在当前互联网时代,计算机系统面临着日益复杂的网络安全威胁。对于Linux服务器来说,保证系统的安全性至关重要。Linux安全基线检查与加固是提高服务器安全性的重要步骤之一。本篇文章将重点介绍使用服务管理进行Linux系统安全基线的检查与加固的方法。

准备工作

  1. 系统备份:在进行任何安全加固之前,务必先备份整个系统。备份系统能够保证在出现错误或问题时能够迅速恢复。

  2. 了解系统和服务:首先需要了解当前系统的架构和已安装的服务。通过使用命令如“uname -a”和“service --status-all”来查看系统信息和运行的服务。

一、禁止SSH空密码用户登录

检查操作步骤检查是否禁止SSH空密码用户登录
检查操作步骤执行命令: more /etc/ssh/sshd_config 查看 PermitEmptyPasswords 配置情况
基线符合性性判定依据PermitEmptyPasswords 的值设置为no即合规,否则不合规
安全加固方案参考配置操作 1、执行备份:cp -p /etc/ssh/sshd_config /etc/ssh/sshd_config_bak 2、执行命令:vi /etc/ssh/sshd _config 找到 PermitEmptyPasswords 将其设置为no后保存并退出 3、执行命令:systemctl restart sshd 重启服务使配置生效

查看 PermitEmptyPasswords 配置情况,注意发现前面是#注释:为不合规

安全加固配置

最后重启服务使配置生效

二、SSH多次登录失败后锁定用户

检查操作步骤设置ssh多次登录失败后锁定用户
检查操作步骤执行命令: more /etc/pam.d/sshd 查看是否存在auth required pam_tally 2.sodeny=5 unlock time=300 内容
基线符合性性判定依据存在该行且 deny小于等于5,unlock_time大于等于300,否则不合规
安全加固方案参考配置操作 1、执行备份 : cp -p /etc/pam.d/sshd /etc/pam.d/sshd_bak 2、执行命令:vi /etc/pam.d/sshd 在文件开头添加一行,内容为auth required pam{tally2.so deny=5 unlock_time=300,如要对root用户也进行限制,在刚添加的内容后继续添加:even_deny_root=5 root_unlock_time=1200 即可 

查看配置情况,发现不存在检查内容

安全加固配置操作

 最后重启服务使配置生效

三、限制root用户远程登录

检查操作步骤限制root用户远程登录
检查操作步骤执行命令: more /etc/ssh/sshd_config 查看PermitRootLogin 参数的值
基线符合性性判定依据PermitRootLogin参数值为no且该行没有被注释即合规,否则不合规
安全加固方案参考配置操作 1、执行命令 :vi /etc/ssh/sshd_config 找到 PermitRootLogin 将其后方的 yes改为 no并删除前方的 # 取消该行的注 2、释执行命令:systemctl restart sshd 重启服务使其生效

四、检查SSH使用的端口

检查操作步骤检查SSH使用的端口
检查操作步骤执行命令:more /etc/ssh/sshd_config 查看Port 参数的值
基线符合性性判定依据Port参数值不是默认值(22) 且该行没有被注释即合规,否则不合规
安全加固方案参考配置操作 1、执行命令:vi /etc/ssh/sshd——config 找到 Port 将其后方的22 改为其他端口号,然后删除前方的 # 取消该行的注释 (端口号最好挑10000-65535之间的端口号,10000以下容易被系统或一些特殊软件占用) 2、执行命令:semanage port -a -t ssh_port_t-p tcp 修改后的端口号,将修改后的端口 添加到SELinux开放给ssh使用的端口 3、执行命令 :firewall-cmd --zone=public --add-port=ssh端口号/tcp --permanent防火墙放行刚修改的 ssh 端口号 4、执行命令: systemctl restart sshd;systemctl restart firewalld 重启ssh和防火墙,使配置生效

五、设置登录超时自动注销

检查操作步骤设置登录超时自动注销
检查操作步骤执行命令: more /etc/profile 查看是否有export TMOUT=180
基线符合性性判定依据存在export TMOUT且他的值小于等于180即合规,否则不合规
安全加固方案参考配置操作 1、、执行备份:cp - p /etc/profile /etc/profile_bak 2、执行命令:vi /etc/profile 在该文件末尾添加 export TMOUT=180 或者将原来的值修改为180

结论: 通过Linux安全基线检查与加固-服务管理的步骤,可以大大增强Linux服务器的安全性。这些措施可以有效地减少系统受到的潜在攻击,并提高服务器的抵抗恶意活动的能力。定期进行安全检查和加固是对系统安全进行长期维护的重要工作,应该始终保持警惕。

Adler学安全
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
Linux自动加固脚本
12-19
详细介绍Linux脚本加固方法,加固密码策略,账户策略等。
等级保护2.0 Linux加固 Redhat 加固 基线
10-21
Linux安全加固基线。从扫描器中导出的配置结果,提供了检查项目、配置命令等。能够为Linux提供较好的加固方案。
linux基线检查加固.txt
04-20
linux安全基线检查 加固 符合等保2.0 linux整改
生命在于学习——Linux安全加固以及基线检查
易水哲的博客
08-04 775
Linux基线检查安全加固
linux 安全基线加固
whatday的专栏
03-12 4018
现在大多数企业都是使用linux作为服务器,不仅是linux是开源系统,更是因为linux比windows更安全。但是由于管理员的安全意识不全或者疏忽,导致linux的敏感端口和服务没有正确的配置,可能会被恶意利用,所以需要进行基线加固。 1.基线安全基线配置,诸如操作系统、中间件和数据库的一个整体配置,这个版本中各项配置都符合安全方面的标准。 比如在系统安装后需要按安全基线标准...
Linux基线检查安全加固
m0_67284865的博客
06-17 3432
(连续认证5次会锁定账户,锁定300秒,root的话,5次失败,锁定600秒)用户连续认证失败次数设置为5次即合规,否则不合规。参考配置操作1.执行备份2.修改策略设置,编辑文件增加以下内容注意:unlock_time和root_unlock_time单位为秒。root下可查看因为验证登录失败的账户如果需要解锁的话,需要以root输入。
Linux主机安全基线加固
Kason_iWiki
09-15 1812
文章目录1.确保配置了bootloader配置的权限2.确保核心转储受到限制3.确保启用了地址空间布局随机化(ASLR)4.确保已配置SSH空闲超时间隔5.确保SSH MaxAuthTries设置为4或更低6.确保已禁用SSH空密码登录7.确保配置了密码尝试失败的锁定8.确保默认用户umask限制为027或更高9.确保默认用户shell超时为900秒或更短10.Nginx server_tokens基线11.Nginx未禁用隐藏文件12.OpenSSL版本1.0.2k ,存在漏洞 1.确保配置了bootlo
Linux安全基线检查加固-权限管理
Sgirll的博客
10-04 304
Linux系统中,权限管理是确保系统安全的关键要素之一。正确的权限管理可以有效地防止未经授权的访问和恶意操作,保护系统的机密性和完整性。本文将介绍Linux安全基线检查加固方法,并重点关注权限管理
Linux安全基线加固之系统设置
super_m@n的博客
04-19 718
1.关闭不必要的服务 who -r 查看当前init级别 chkconfig --list <服务名> 查看所有服务的状态 chkconfig --level <init级别> <服务名> on|off|reset”设置服务在个init级别下开机是否启动 编辑inetd.conf文件 第一步:chmod 600 /etc/inetd.conf #只...
Linux安全基线检查加固-账号管理
Sgirll的博客
09-29 378
2、修改策略设置,编辑文件vi /etc/pam.d/password-auth增加如下内容::auth required pam tally2.so deny=5 onerr=fail unlock_time=300 如果要对root用户生效,请在添加的内容后继续添加even_deny_root=5 root unlocktime=600注:unlock time和root unlock time单位为秒。检查 /etc/pam.d/password-auth ,检查如下参数值是否满足要求。
Linux系统基线加固脚本
04-25
Linux系统基线加固脚本
系统安全配置技术规范-Linux基线加固
05-28
人工评估(手工检查)是对工具评估的一种补充, 它不需要在被评估目标系统上安装任何软件,对目标系统的运行和状态没有任何影响,在不允许安装软件进行检查的重要主机上显得非常有用。安全专家对各主机系统、服务器、业务系统、数据库以及各种应用服务器在内的目标系统进行人工评估。
Linux基线修复
02-18
Linux系统centos 7 Linux基线修复shell 脚本,请放心下载
[ 安全加固基线规范 ] 基线检查脚本.rar
02-11
[ 安全加固基线规范 ] 基线检查脚本
Linux服务器操作系统加固方法
09-15
本帮助手册旨在指导系统管理人员或安全检查人员进行Linux操作系统的安全合规性检查加固,需要的朋友可以参考下
中国电信linux安全基线检查json
12-19
项目工程上可以提前进行加固优化
Linux 服务器基线配置
最新发布
qq_28776313的博客
04-06 321
通过以上步骤,我们对Linux服务器进行了基线加固,从而提高了服务器安全性。然而,网络安全问题是一个不断发展和变化的领域,因此我们需要不断更新自己的知识,并采取适当的措施来保护我们的服务器。作为服务器管理员,保障服务器安全性是至关重要的。在Linux服务器上运行许多服务,但并不是所有服务都是必需的。在Linux服务器上运行的每个用户都应该只有必要的权限,这有助于减少潜在的安全漏洞。首先,我们需要更新系统和软件包,以确保系统中存在的漏洞被修复。然后找到以下行并将其更改为“no”:​​​​​​​。
Linux安全基线加固实战
悦分享
01-11 360
另外,也可以这样设置:编辑 /etc/security/pwquality.conf,把 minlen(密码最小长度)设置为9-32位,把 minclass(至少包含小写字母、大写字母、数字、特殊字符等4类字符中等3类或4类)设置为3或4。--more etc/shadow查看是否存在adm、 lp. sync、 shutdown、 halt.、mail、 uucp、operator,、games.、gopher ftp等默认的、无用的用户。查看etc/passwd的非默认账户,询问分配的权限。
Linux安全基线加固
thinker
02-22 1251
Linux安全基线加固
Linux 安全基线加固
12-16
为了加强Linux系统的安全性,可以采取以下措施: 1.修改密码策略:可以通过修改密码策略来增强密码的复杂度和安全性。可以通过执行以下命令来查看密码策略: ```shell grep -E '^minlen|^minclass' /etc/security/pwquality.conf ``` 其中,minlen表示密码最小长度,minclass表示密码中必须包含的字符类别数。可以根据需要修改这些值。 2.备份关键文件:在进行系统加固之前,最好备份一下关键文件,以防止出现意外情况。可以通过执行以下命令来备份/etc/security/pwquality.conf文件: ```shell cp -p /etc/security/pwquality.conf /etc/security/pwquality.conf_bak ``` 3.禁用不必要的服务:可以通过禁用不必要的服务来减少系统的攻击面。可以通过执行以下命令来查看当前正在运行的服务: ```shell systemctl list-unit-files --type=service ``` 可以通过执行以下命令来禁用某个服务: ```shell systemctl disable <service_name> ``` 4.更新系统和软件包:及时更新系统和软件包可以修复已知的漏洞和安全问题,提高系统的安全性。可以通过执行以下命令来更新软件包: ```shell yum update ```

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Adler学安全

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值