总结Linux系统环境初始化、系统安全加固措施和系统内核优化

置顶 已于 2023-07-28 11:24:48 修改
阅读量1.3k 收藏 10
点赞数 2
分类专栏: Linux系统 文章标签: 系统安全 linux 运维
于 2022-12-13 17:13:50 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ZHUZIH6/article/details/128304871
版权

目录

一、Linux系统环境初始化

二、Linux系统安全加固措施

三、Linux系统内核优化

一、Linux系统环境初始化

1、关闭 firewalld 防火墙工具(根据实际情况作出策略安全限制等)

2、关闭selinux安全防护模块

3、建立国内yum源,加快安装速度

4、关闭不必要的启动项,加快系统启动速度

5、备份MBR分区

6、统一主机名、网卡名等参数

7、修改内核参数ulimit -a 中open files

二、Linux系统安全加固措施

1、将非登录用户shell设置为nologin

2、锁定长期不使用的账号(锁定用户)

3、删除无用账号

4、chattr锁定配置文件(重要文件passwd、shadow、fstab等加 i 权限,不让删除)

5、设置密码复杂性规则(长度、特殊字符、失效时间等)密码策略

6、修改history,记录历史命令,尽量缩短记录历史命令的条数

7、禁止su root,切换超级管理员

8、设置sudo权限,禁用不安全命令

9、给GRUB设置密码

10、只允许BIOS从硬盘启动,关闭除了硬盘启动外的(光驱、udisk 、网络)

11、给BIOS设置密码

12、限制root只在安全终端登录

13、禁止普通用户登录

14、改掉常见服务端口

15、做好日志权限管理

16、内核参数调整

三、Linux系统内核优化

可以通过/etc/sysctl.conf控制和配置Linux内核及网络设置。
1、避免放大攻击
net.ipv4.icmp_echo_ignore_broadcasts = 1

2、开启恶意icmp错误消息保护
net.ipv4.icmp_ignore_bogus_error_responses = 1

3、开启SYN洪水攻击保护
net.ipv4.tcp_syncookies = 1

4、开启并记录欺骗,源路由和重定向包
net.ipv4.conf.all.log_martians = 1
net.ipv4.conf.default.log_martians = 1

5、处理无源路由的包
net.ipv4.conf.all.accept_source_route = 0
net.ipv4.conf.default.accept_source_route = 0

6、开启反向路径过滤
net.ipv4.conf.all.rp_filter = 1
net.ipv4.conf.default.rp_filter = 1

7、确保无人能修改路由表
net.ipv4.conf.all.accept_redirects = 0
net.ipv4.conf.default.accept_redirects = 0
net.ipv4.conf.all.secure_redirects = 0
net.ipv4.conf.default.secure_redirects = 0

8、不充当路由器
net.ipv4.ip_forward = 0
net.ipv4.conf.all.send_redirects = 0
net.ipv4.conf.default.send_redirects = 0

9、开启execshild
kernel.exec-shield = 1
kernel.randomize_va_space = 1

10、IPv6设置
net.ipv6.conf.default.router_solicitations = 0
net.ipv6.conf.default.accept_ra_rtr_pref = 0
net.ipv6.conf.default.accept_ra_pinfo = 0
net.ipv6.conf.default.accept_ra_defrtr = 0
net.ipv6.conf.default.autoconf = 0
net.ipv6.conf.default.dad_transmits = 0
net.ipv6.conf.default.max_addresses = 1

11、优化LB使用的端口

12、增加系统文件描述符限制
fs.file-max = 65535

13、允许更多的PIDs (减少滚动翻转问题); may break some programs 32768
kernel.pid_max = 65536

14、增加系统IP端口限制
net.ipv4.ip_local_port_range = 2000 65000

15、增加TCP最大缓冲区大小
net.ipv4.tcp_rmem = 4096 87380 8388608
net.ipv4.tcp_wmem = 4096 87380 8388608

16、增加Linux自动调整TCP缓冲区限制
# 最小,默认和最大可使用的字节数
# 最大值不低于4MB,如果你使用非常高的BDP路径可以设置得更高

17、Tcp窗口等
net.core.rmem_max = 8388608
net.core.wmem_max = 8388608
net.core.netdev_max_backlog = 5000

小啄学习日记
关注
  • 2
    点赞
  • 10
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
Windows操作系统加固
悦分享
06-04 957
2020年1月,微软宣布停止对Windows7操作系统的更新服务,同时不再提供针对其的技术支持、软件更新、漏洞修复等(以下简称“WIN7停服”),继续使用Windows 7操作系统的用户将面临较大的安全风险。建议相关用户尽快更新迭代到更加安全的操作系统。本实践指南从WIN7停服带来的安全风险分析出发,以操作系统加固体系为基础,参考国内外的相关技术指导文件,并重点结合多家网络安全厂商和用户在实际运维中的最佳实践,从安全防护加固和安全配置加固两方面提出了对Windows 7操作系统安全加固的实践建议。
Linux服务器通用基本安全加固
qq_56658276的博客
01-02 1010
文章内容主要包含Linux服务器的基础加固
Linux基线检查与安全加固
m0_67284865的博客
06-17 3643
(连续认证5次会锁定账户,锁定300秒,root的话,5次失败,锁定600秒)用户连续认证失败次数设置为5次即合规,否则不合规。参考配置操作1.执行备份2.修改策略设置,编辑文件增加以下内容注意:unlock_time和root_unlock_time单位为秒。root下可查看因为验证登录失败的账户如果需要解锁的话,需要以root输入。
Windows安全加固总结(非常详细)零基础入门到精通,收藏这一篇就够了
最新发布
logic1001的博客
06-19 3015
不知道大家有没有注意到一点,我们平时在使用计算机的时候,如果登陆过一次这台计算机,系统就会默认显示最后一次的登陆名。其实这是一个很不好的点,尤其是当攻击者尝试登陆的时候,他可以一下子就看到你系统的登录名。这时候他只要写一个爆破密码的小脚本,那么他入侵你计算机的可能性就大大增加。
Linux安全加固
qq_58317810的博客
05-04 4061
目录 Linux安全加固——账户管理 Linux安全加固-服务管理 Linux安全加固-权限管理 Linux安全加固——账户管理 1、口令锁定策略 查看配置文件:more /etc/pam.d/password-auth auth required pam_tally2.so deny=5 onerr=fail unlock_time=300 even_deny_root=5 root_unlock_time=600 普通账户五次密码错误,300s后重试。root账户五次密码错误后,300..
安全加固linux安全加固
qq_45174221的博客
02-11 864
本文章旨在说明如何尽可能地加强Linux的安全性和隐私性。 列出的所有命令都将需要root特权。 免责声明:非专业人员请不要尝试在本文中的任何内容。
常用linux加固,Linux工作站加固的6个方法
weixin_31443757的博客
05-15 854
导读正如我之前说过,安全好比是在公路上开车――比你开得慢的人都是白痴,比你开得快的人都是疯子。本文介绍的这些准则只是一系列基本的核心安全规则,它们并不全面,也代替不了经验、谨慎和常识。你应该稍稍调整这些建议,以适合本企业的环境。对每个系统管理员来说,以下是应该采取的一些必要步骤:1.一律禁用Firewire和Thunderbolt模块。2.检查防火墙,确保所有入站端口已被过滤。3.确保root邮件...
Linux系统设计-linux系统初始化设置,包含内核参数、时区、安全加固
01-10
Linux系统是一个免费使用和自由传播的类Unix操作系统,基于POSIX和UNIX的多用户、多任务、支持多线程和多CPU的操作系统。它继承了Unix以网络为核心的设计思想,是一个性能稳定的多用户网络操作系统Linux是许多企业...
安全加固规范文档(系统,数据库)
01-16
Linux安全加固包括设置强密码策略、限制root权限的使用、启用防火墙(如iptables或firewalld)、定期更新系统补丁、限制不必要的服务和端口、控制文件系统权限、日志监控以及安装安全增强的Linux内核(如SELinux或...
Linux系统案例分析详解
01-14
Linux是一种免费使用的类Unix操作系统,它基于Linux内核,由全球各地的程序员通过互联网共同开发。由于其开源性、安全性、稳定性等特点,Linux服务器领域占据主导地位,并广泛应用于嵌入式系统、移动设备等多个...
kernel_ipv6_ioam:Linux内核中针对IPv6的IOAM的实现
04-09
IPv6 IOAM的内核补丁 根据以下草稿,在Linux内核中实现IOAM for IPv6的实现: (版本05) (版本12) 修补内核 该补丁集已提交到。 它是基于树(v5.12-rc4)开发的,目前正在等待审查。 在正式合并之前,您需要下载内核的最新版本(例如,内核v5.10中提供了补丁集),并使用提供的补丁集对其进行手动补丁。 从那时起,您可能需要根据合并的更改进行一些小的修改。 演示版 拓扑结构 为了简单起见,将使用Linux容器(lxc)模拟三节点拓扑。 sudo apt-get install -y lxc lxctl lxc-templates util-linux 将这三个节点配置为形成IOAM域: Athos :发送流量并插入IOAM标头及其自己的IOAM数据 Porthos :插入自己的IOAM数据 Aramis :插入自己的IOAM数据并接收流量 视频
LINUX系统开发技术详解
11-02
9. **安全与加固**:Linux系统开发还包括确保系统的安全性,如防火墙规则设置、权限管理、安全内核模块等,以防止未授权访问和攻击。 10. **用户空间应用程序开发**:除了内核系统层面的工作,开发者还需要编写或...
enchantmoon_kernel:UEI仓库的enchantMOON(MOON01)Linux内核源代码-linux kernel source code
03-25
通过深入研究enchantmoon_kernel源代码,开发者可以了解到如何为特定硬件定制和优化Linux内核,这对于嵌入式系统开发、设备驱动编写、系统性能调优等领域都具有重要指导意义。同时,这也是开源精神的体现,任何人都...
linux系统移植开发文档
05-10
这涉及到理解硬件接口、编写设备初始化代码、中断处理函数等。通常,驱动程序会作为内核模块加载,以便于更新和调试。 4. **交叉编译环境**: 移植过程中,往往需要在与目标硬件不同的平台上编译内核和用户空间...
嵌入式Linux系统开发技术详解-基于ARM
03-25
4. **Bootloader**:这是启动嵌入式系统的第一个软件,负责加载和初始化硬件,然后将控制权交给Linux内核。常见的Bootloader有U-Boot和 Barebox。 5. **设备驱动程序**:为了使Linux内核与硬件设备通信,需要编写或...
安全加固Linux系统的方法
m0_72838865的博客
08-05 3045
最好为特殊的应用程序单独开一个分区,特别是可以产生大量日志的程序,还建议为/home单独分一个区,这样他们就不能填满/分区了,从而就避免了部分针对Linux分区溢出的恶意攻击。这个文件就是/etc/xinetd.conf,它制定了/usr/sbin/xinetd将要监听的服务,你可能只需要其中的一个:ftp,其他的类似:Telnet、shell、login等,除非你真的想用它,否则统统关闭。一个配置适当的防火墙不仅是系统有效应对外部攻击的第一道防线,也是最重要的一道防线。可以使用该方法关闭不必要的端口。..
linux系统安全加固方案
完颜振江
04-03 1218
Linux 系统进行安全加固是非常重要的,以确保系统免受恶意攻击和数据泄露。确保系统和安装的软件都及时更新到最新版本,以修复已知的漏洞和安全问题。在Linux系统中,你可以使用不同的命令和工具来定期更新系统和软件。以下是一些常用的命令和案例:这个命令会先更新可用的软件包列表,然后再升级所有已安装的软件包到最新版本。首先使用命令检查可用更新,然后使用命令升级所有可用的软件包。类似地,首先使用命令检查可用更新,然后使用命令升级所有可用的软件包。这个命令会更新所有已安装的Snap软件包到最新版本。
linux安全加固(2),2024年最新网络安全高级工程师进阶学习—网络安全热修复原理
UYruihu的博客
04-10 679
目的:让ls随时看清文件属性,让rm需要确认后删除目标实施方法1.修改当前用户的登录启动脚本。
深入探索Linux内核:链表与子系统初始化
“《Linux内核修炼之道》是一本深入探讨Linux内核的书籍,涵盖了内核中的数据结构、子系统初始化内核API、版本选择等多个方面。书中的精华内容包括了链表的使用、内核选项解析、子系统初始化的流程,特别是PCI子...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

小啄学习日记

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值