Linux安全基线(一)配置7小项

已于 2022-09-23 15:04:31 修改
阅读量2.2k 收藏 1
点赞数
分类专栏: Linux(CentOS 文章标签: Linux安全配置
于 2022-09-21 16:02:59 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/bigwood99/article/details/126974633
版权

1.设置口令过后账号仍能保持有效的最大天数
/etc/default/useradd文件
配置:
INACTIVE=60
默认是-1

2.MaxAuthTries参数指定每个链接允许的最大身份证尝试次数。登陆失败次数大道设置参数一半时,错误消息将写入syslog文件。
编辑:/etc/ssh/sshd_config
MaxAuthTries 4

修改后需要重启sshd服务

3.sshd空闲超时间隔
编辑:/etc/ssh/sshd_config
ClientAliveInterval 300
ClientAliveCountMax 0

修改后需要重启sshd服务

4.关闭nginx用户login
usermod -s /sbin/nologin 账户名

5.多次登录错误锁定账号规则

auth required pam_faillock.so preauth audit silent deny=5 unlock_time=900
auth [success=1 default=bad] pam_unix.so
auth [default=die] pam_faillock.so authfail audit deny=5 unlock_time=900
auth sufficient pam_faillock.so authsucc audit deny=5 unlock_time=900

警告:此配置有风险,存在让登录认证失效可能。请做好备份随时恢复原配置。

6.确保配置了bootloader配置的权限

grub配置文件包含有关引导设置的信息以及用于解锁引导选项的密码。
运行以下命令来设置对grub配置的权限:
 chown root:root /boot/grub2/grub.cfg
 chmod og-rwx /boot/grub2/grub.cfg
 chown root:root /boot/grub2/grubenv
chmod og-rwx /boot/grub2/grubenv

7.确保核心转储受到限制

将以下行添加到/etc/security/limits.conf文件中:

* hard core 0

在/etc/sysctl.conf*文件中设置以下参数:

fs.suid_dumpable = 0

运行以下命令来设置活动内核参数:

# sysctl -w fs.suid_dumpable=0

8.确保启用了地址空间布局随机化(ASLR)

在/etc/sysctl.conf文件中设置以下参数:

kernel.randomize_va_space = 2

运行以下命令来设置内核参数:

# sysctl -w kernel.randomize_va_space=2

乐大师
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
SSH max authtries && SSH 配置文件简便地增强安全
anzhuangguai的专栏
02-17 1万+
1 确保安全性总是需要多层的方案。SSH 就是个好例子。可以使用多种方法,包括简单的 sshd 配置、通过 PAM 指定谁可以使用 SSH、应用端口敲门技术隐藏存在 SSH 访问的事实等。应用这些技术可以大大增加黑客入侵的难度,黑客不得不突破三个不常见的障碍。 把 SSH 的标准端口改为不常用的值并增强 SSH 配置,从而挡住最简单的攻击。定义有限的用户列表,只允许这些用户登录。完全隐藏
Linux ssh常用安全设置
Merandღ的博客
04-10 1282
/etc/ssh/sshd_config设置 MaxAuthTries设置允许登录失败重试次数 MaxSessions设置同一地址的最大连接数 Port设置端口 PubkeyAuthentication设置秘钥登录 AuthorizedKeysFile设置免密登录文件authorized_keys PermitRootLogin no禁止root用户登录 PasswordAuthentic...
Linux 安全基线检查与加固
最新发布
默默的博客
05-15 1129
虽然说Linux操作系统相比Windows系统更为安全一点,但是在实际使用当中,由于管理员的一些安全意识不够全面或者一时的疏忽,可能会导致Linux系统中的一些账户和服务没有进行正确的配置,这样就可能产生被黑客利用的风险,因此需要。
Linux安全基线配置全解析
关注微信公众号【开源Linux】,后台回复『10T』,领取10T学习资源大放送,涵盖Linux、虚拟化、容器、云计算、网络、Python、Go等书籍和视频
04-12 2421
来自:https://blog.csdn.net/chj_1224365967/article/details/114589867现在大多数企业都是使用linux作为服务器,不仅是linux是开源系统,更是因为linux比windows更安全。但是由于管理员的安全意识不全或者疏忽,导致linux的敏感端口和服务没有正确的配置,可能会被恶意利用,所以需要进行基线加固。1.基线安全基线配置,诸如操作...
SSH安全管理
行走天下
06-29 438
1、默认是端口Port:22 /etc/ssh/sshd_config,去掉默认Port 22前面的#,添加Port 62442 2、确保SSH MaxAuthTries 设置为3-6之间 加固建议 在/etc/ssh/sshd_config 中取消MaxAuthTries注释符号#, 设置最大密码尝试失败次数3-6 建议为4 MaxAuthTries 4 3、设置SSH空闲超时退出时间 加固建议 在/etc/ssh/sshd_config 将ClientAliveInterval设置为300
Linux安全基线(三)配置6小项
bigwood99的博客
09-27 4455
通过将net.ipv4.conf.all.accept_redirects和设置net.ipv6.conf.all.accept_redirects为0,系统将不接受任何ICMP重定向消息,因此,不允许外部人员更新系统的路由表。它的流行和实用性使基于USB的恶意软件成为网络渗透的一种简单而通用的手段。在网络中,源路由允许发送者部分或完全指定通过网络的路由数据包。相反,非源路由数据包将通过网络中的路由器确定的路径。在/etc/modprobe.d/目录中编辑或创建以.conf结尾的文件文件。
Linux操作系统安全配置基线培训.docx
12-16
Linux操作系统安全配置基线培训 本文将介绍Linux操作系统安全配置基线培训中的知识点,涵盖口令管理、认证授权、日志审计等方面的安全配置要求。 一、口令管理 口令管理是Linux操作系统安全配置的重要组成部分。...
Linux系统安全基线检查脚本
04-25
Linux系统安全基线检查脚本
Linux安全基线配置规范.docx
05-25
Linux操作系统安全基线规范是指在 Linux 操作系统中,为了确保系统安全,需要实施的一系列安全配置和要求。本文将从账户管理、登录超时设置、限制管理员root远程登录、口令管理等方面,详细介绍 Linux 安全基线配置...
网络安全行业安全基线配置标准规范.
05-27
网络安全行业安全基线配置标准规范,主要包括网络安全行业安全基线配置标准规范,主要包括操作系统、安全设备、网络设备、数据库、中间件、web应用等基线标准,很适合通信行业的人员使用。
CentOS Linux 7安全基线
05-10
CentOS Linux 7安全基线,适用于CentOS 7 系统
linux7安全基线
11-13
安全基线文档,作为加固效果,加固操作的参考文档阅读
CISredhat linux 7 安全基线
11-03
来自CIS的红帽7.0企业安全基准基准线,可供参考.
Linux系统安全调优、系统调优
qq_42340084的博客
11-22 3768
一、安全调优 - 相关文件 SSH:是一种安全通道协议,主要用来实现字符界面的远程登录、远程复制等功能 - /etc/ssh/ssh-config 客户端配置文件 - /etc/ssh/sshd_config 服务器端配置文件
Linux基线检查与安全加固
m0_67284865的博客
06-17 3585
(连续认证5次会锁定账户,锁定300秒,root的话,5次失败,锁定600秒)用户连续认证失败次数设置为5次即合规,否则不合规。参考配置操作1.执行备份2.修改策略设置,编辑文件增加以下内容注意:unlock_time和root_unlock_time单位为秒。root下可查看因为验证登录失败的账户如果需要解锁的话,需要以root输入。
如何优雅地解决ssh中Too-many-authentication-failures的问题
热门推荐
狂客队长
12-27 1万+
sshd Too-many-authentication-failures ' Too many authentication failures'
linux ssh远程访问及控制
weixin_56667320的博客
05-25 1813
文章目录一、SSH远程访问1、概念2、系统服务-openssh2.1、系统软件包2.2、服务名称:sshd2.3、服务端配置文件参数详解3、实操3.1、实验环境准备3.2、ssh远程登录3.2.1、未更改端口号3.2.2、更改端口号3.3、PermitRootLogin no #禁止root用户登录3.4、MaxAuthTries 6 #重试次数3.5、黑白名单二、SSH秘钥对验证1、概述2、加密算法2.1、对称加密2.2、非对称加密3、实例了解签名、公钥、私钥4、实操4.1、免密交互4.3、加密交互
BCLinux8U6系统基线加固致无法su的问题分析
forestqq的博客
04-10 1336
本文对BCLinux8U6系统进行基线加固致无法su的问题分析。
服务器操作系统口令,账户口令 - 华为欧拉服务器操作系统软件 V2.0 安全说明手册 03 - 华为...
weixin_34665990的博客
08-09 1063
实现口令复杂度的设置通过修改/etc/pam.d/password-auth和/etc/pam.d/system-auth文件实现,配置如下:#%PAM-1.0# User changes will be destroyed the next time authconfig is run.auth required pam_env.soauth require...
linux基线配置文档1
08-08
本篇文档是Linux基线配置指南的第一部分,主要关注于系统的安全性、性能和管理控制。共分为六章,详细地介绍了如何确保Linux系统在日常运维中的最佳实践。 **第一章:概述** - 本章首先提供了文档的总体介绍,包括...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

乐大师

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值