Linux-安全加固

最新推荐文章于 2024-04-30 17:22:36 发布
最新推荐文章于 2024-04-30 17:22:36 发布
阅读量3k 收藏 14
点赞数
分类专栏: 安全 文章标签: linux 安全 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/cainiao17441898/article/details/121054014
版权

系列文章目录

文章目录

前言

安全加固的目的:
操作系统之上的各种应用,要想获得信息的完整性、机密性、可用性和可控性,必须依赖于操作系统
通用CentOs Linux 7操作系统缺省配置通常不满足系统安全性的要求
操作系统的薄弱环节有安装和运行了冗余的服务、弱密码及匿名访问、开放了不必要的对外通讯端口、易受攻击的TCP/IP参数配置等,都容易成为日常运行和管理过程中的弱点
安全加固就是对系统进行优化配置,杜绝系统配置不当出现的弱点,提高操作系统和服务器的防御能力,防止黑客攻击和病毒入侵,提升系统和网络安全

安全加固——基础加固方法

  • 文件系统配置

禁用不必要的的文件系统

  • 一般的不必要文件系统描述
    CramFS:专门针对闪存设计的只读压缩的文件系统
    freevxfs:是高性能日志文件系统Veritas的免费版本
    jffs2:管理在MTD设备上实现的日志型文件系统hfs:允许你加载Mac OS文件系统的混合文件系统
    hfsplus:用于取代hfs的混合文件系统,用于加载Mac OS文件系统
    squashfs: 与cramfs类似是—种压缩只读的文件系统
    udf:用于实现ISO/IEC13346和ECMA-167规范的通用磁盘格式
    FAT:主要用于较旧的windows系统和便携式USB驱动器或闪存模块
    配置方法:
    创建一个/etc/modprobe.d/CIS.conf文件,(之前说过/etc/文件夹放的基本都是一些程序的配置文件)
    再用对应命令去禁止载入该模块
    modprobe -n -v <文件系统名>
    检测方法:
    lsmod | grep cramfs

  • 设置nodev,nosuid,noexec选项控制挂载:
    原理:
    配置文件系统的挂载选项可以方式系统被挂载特殊设备,例如可执行的二进制木马文件等。
    命令描述:
    nodev挂载选项指定文件目录不能包含特殊设备; nosuid挂载选项指
    文件目录不能包含setuid权限; noexec挂载选项指定文件目录不能包含可执行的二进制文件。
    加固位置:
    一般在/tmp,/var/tmp,/dev/shm目录上以及可移动介质分区(像U盘啥的)上设置nodev,nosuid,noexec选项。

  • 配置方法
    先编辑/etc/fstable文件(系统启动时会自动按照其规则挂载文件)设置成nodev,noexec,nosuid挂载选项。
    在这里插入图片描述重新挂载目录
    mount -o remount,noexec,nosuid,nodev <目录名称>
    在这里插入图片描述检测是否成功重新挂载
    mount | grep <目录名称>

  • 软件更新配置

  • 确保配置了包管理器存储库

原理
若系统的软件包存储库配置错误,则可能无法识别重要的修补程序,或者恶意储存库可能会引入受损软件。
检测方式:
yum repolist/apt list
在这里插入图片描述

  • 确保配置了GPG密钥和全局激活gpg
    原理:
    确保从有效源获取更新以及在安装之前始终检查RPM的包签名,确保从有效源获取更新以防止可能在系统上安装恶意软件而导致的欺骗。
    描述:
    gpgcheck选项主要位于/etc/yum.conf和个人的/etc/yum/repo.d/*中,用于确认安装RPM包之气那是否检查了他的签名。

配置方法(全局激活gpg检查):
在这里插入图片描述在这里插入图片描述
在这里插入图片描述
都设置gpgcheck=1在这里插入图片描述检测方式(是否正确配置GPG密钥):
命令: rpm -q gpg-pubkey --qf ‘%{name}-%{version}-%{release}–>%{summary}\n’
在这里插入图片描述检查yum中是不是都配置了gpgcheck=1
grep ^gpgcheck /etc/yum.conf
grep ^gpgcheck /etc/yum.repos.d/*

  • 确保安装了最新的补丁
    更新可用安装包
    yum update
    检测是否有补丁或者软件要更新
    yum check-update

  • 安全启动配置

  • 配置bootloader配置的权限
    原理:
    将其设置成root权限,防止未经授权的其他用户输入引导参数或更改引导分区。读取引导参数的非root用户可能在系统引导时识别安全性的弱点并利用。
    配置:
    grub文件:包含启动设置和解锁启动选项的密码信息。位置:/boot/grub2/grub2.conf,并链接到/etc/grub2.conf
    先更改文件属主和属组,再更改权限
    chown root:root /boot/grub2/grub.cfg
    chmod og-rwx /boot/grub2/grub.cfg
    chown root:root /boot/grub2/user.cfg
    chmod og-rwx /boot/grub2/user.cfg
    检测方式
    stat /boot/grub2/grub.ctf(文件路径)
    stat /boot/grub2/user.ctf
  • 确保单用户模式需要身份认证
    单用户模式:可以不用密码获得root权限。在系统引导期间检测到问题或通过从引导装载程序手动选择时,会使用单用户模式进行恢复。
    配置
    编辑/usr/lib/systemd/system/rescue.service和/usr/lib/system
    /system/emergency.service文件并且设置ExecStart为/sbin/sulogin或
    者/usr/sbin/sulogin
    在这里插入图片描述检测方式:检查/sbin/sulogin在不在对应文件里面。
    grep /sbin/sulogin /usr/lib/systemd/system/rescue.service
    在这里插入图片描述

加固内核参数

  • 限制核心转储(吐核)

核心转储:
操作系统在进程收到某些信号而终止运行时,将此时进程地址空间的内容以及有关进程状态的其他信息写出的一个磁盘文件。
描述:
因此可能会出现信息泄露的情况,会导致核心文件中机密泄露(密码等信息)。系统为核心提供了软限制功能,但是用户可以重写这一功能。
配置方法:
1.将以下行添加到/etc/security/limits.conf文件或/etc/security/limits .d /文件中:
* hard core 0,禁止所有用户运行core文件。
在这里插入图片描述
2.在/etc/sysctl.conf文件中设置以下参数阻止setuid程序转储核心。
fs.suid dumpable = 0
命令:sysctl -w fs.suid_dumpable=0
检测方法:
验证下匹配情况
grep “hard core” /etc/security/limits. conf /etc/security/limits. d/
sysctl fs.suid_ dumpable
grep “fs.suid dumpable” /etc/sysctl.conf /etc/sysctl.d/*

除此之外:在这个文件中还可以限制最大进程数和内存数量。
限制进程数为“nproc 50“,且限制内存使用为5M“rss 5000”。
也就是在文件中写入nproc 50 或 rss 5000

  • 确保已启用XD/NX支持
    前言:啥是缓冲区溢出漏洞(这里粗略的讲一下):程序的缓冲区写超出其长度的内容,造成缓冲区的溢出,从而破坏程序的堆栈,使程序转而执行其它指令,以达到攻击的目的。那么也就是说要是该程序是root权限的,我们进行此攻击之后的权限也是root权限

XD和NX:X86家族中最近的处理器支持防止在每个内存页上执行代码。一般来
说,在AMD处理器上,这种能力被称为无执行(NX),而在英特尔处理器上,它被称为执行禁用(XD)。此功能可以帮助防止缓冲区溢出漏洞的利用,并应在可能的情况下激活。

原理:这俩支持能防止缓冲区溢出攻击,增加系统的安全性。
配置方法:
32位系统上安装具有PAE支持的内核,64为系统不用装,要是有必要就用引导加载程序配置加载新内核并重新引导系统。
检测方法:
dmesg | grep NX
在这里插入图片描述

  • 确保已启用气质空间布局随机化(ASLR)

原理:
随机放置虚拟内存区域将使得难以编写内存界面漏洞。
配置方法:
1.在/etc/sysctl.conf文件中设置以下参数:
kernel.randomize va_ space = 2
在这里插入图片描述
2.运行以下命令以设置活动内核参数:
sysctl -w kernel.randomize_va_space=2
在这里插入图片描述

  • 确保禁用prelink(预链接)
    原理:
    他可能会干扰AIDE(安卓/java开发环境)操作,他会更改二进制文件。如果恶意用户能破坏公共库,则预链接还会增加系统漏洞。
    prelink:它修改ELF共享库和ELF动态链接二进制文件,使动态链接器在启动时执行重定位所需时间减少。
    配置方法:
    运行以下命令将二进制文件恢复到正常状态并卸载prelink:
    prelink -ua
    yum remove prelink
    检测方法:
    运行以下令并验证未按装prelink:
    rpm -q prelink
    package prelink is not installed

警告信息设置

  • 正确配置登录警告信息

利用原理
警告消息会通知尝试登录系统的用户,有关系统的合法状态,并且必须包含拥有系统的组织的名称以及所有适用的监控策略。这样的话就会导致系统的版本等敏感信息泄露,攻击者可以利用这个找到对应的漏洞信息(CVE之类的)进行利用。
原因:
/etc/motd文件的内容在登录后显示给用户, 并作为当天的消息用于经过身份验证的用户。
/etc/issue文件的内容会在登录本地终端之前向用户显示。
/etc/issue.net文件的内容在登录之前将向用户显示,以便从已配置的服务进行远程连接。
配置方法:
更改对应文件的权限。举例:
chown root:root /etc/issue
chmod 644 /etc/issue
检测方法(查看权限):
stat /etc/issue
在这里插入图片描述

熊是本熊
关注
  • 0
    点赞
  • 14
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
为什么要做安全加固?有哪些流程呢?
qq177803623的博客
01-12 400
为什么要做安全加固呢?在《网络安全法》中规定:发现其网络产品、服务存在安全缺陷、漏洞等风险时,应当立即采取补救措施,按照规定及时告知用户并向有关主管部门报告。网络产品、服务的提供者应当为其产品、服务持续提供安全维护;在规定或者当事人约定的期限内,不得终止提供安全维护。安全加固可以提高网络安全防御能力,消除或降低信息系统安全风险。
操作系统安全加固的作用
牛牛码特的博客
03-30 784
通过安全加固,可以合理加强信息系统安全性,提高其健壮性,增加攻击入侵的难度,可以使信息系统安全防范水平得到大幅提升。
2024年Linux最全Linux安全加固功能
2401_83947048的博客
04-30 585
加固分为两部分:安全加固、加固shell安全加固是通过防火墙,将目前已开放的端口(netstat命令查看)放通,其他端口默认拒绝,后续也可以通过工具来放通、拒绝IP/端口的访问。加固shell是用脚本来模拟一个shell,模拟shell可执行的命令受限,并且此脚本无法通过ctrl+c、ctrl+z等快捷键退出。这个功能在护网等场景会用到。加固shell开启后,只允许vshell这一个用户登陆,其他用户(包括root)无法登陆。加固shell开启后,无法使用ftp、telnet等功能了。
linux shell 值coredump suid_dumpable和 gdb解析coredump文件
weixin_30947043的博客
05-19 734
可以设置产生coredump文件,设置dump文件命名非格式,生成dump文件的路径; linux # set suid_dumpable on if [ -e /proc/sys/kernel/suid_dumpable ]; then echo 1 > /proc/sys/kernel/suid_dumpable else echo 1 > /proc/sys...
ubuntu 调试 core 文件
all for one,one for all
10-16 5222
DescriptionCore dumps are often used to diagnose or debug errors in Linux or UNIX programs. Core dumps can serve as useful debugging aids for sys admins to find out why Application like Lighttpd, Apach
Linux下 非root用户如何生成coredump
qq_24887237的博客
03-10 886
linux、非root、coredump
linux系统安全加固
最新发布
06-06
linux系统安全加固
06-SUSE Linux安全加固
03-27
SUSE Linux 安全加固指南 SUSE Linux 安全加固Linux 操作系统的重要组成部分。作为一名 IT 专业人士,了解 SUSE Linux 安全加固的重要性和相关知识点是非常必要的。下面,我们将详细介绍 SUSE Linux 安全加固的...
LINUX安全加固手册.pdf
09-29
"LINUX安全加固手册" LINUX操作系统的安全加固是一项复杂的任务,需要从多方面入手,涵盖了密码安全策略、用户帐号安全网络服务安全等多个方面。以下是LINUX安全加固手册中的一些关键知识点: 一、概述 LINUX...
Linux安全加固-密码安全
05-06
密码是在linux中是一道很重要的防线,在加固中也是第一道要加固的内容,登录密码尤其是最高权限用户的登录密码有必要设置成强密码一个包含大小字母,含有数字和特殊符号的最好。首先查看一共有哪些用户和哪些服务...
linux系统安全加固手册.pdf
01-15
Linux 系统安全加固手册 本文档提供了 Redhat Linux 系统安全加固的详细指南,涵盖了多个方面的安全配置和加固措施。以下是本文档所涵盖的知识点: 1. 安全加固配置 * 停止 xinetd 进程:xinetd 是一个旧的网络...
打开mysql core dump的方法
u010024893的专栏
12-30 1574
为了诊断mysql段错误(segment fault),也被称为崩溃(crash),需要在段错误发生时生成core文件(core dump)。 默认情况下,mysql core文件是不会生成的,需要提前做好一些配置工作。 mysql的core dump正确打开方式如下: 1、打开linux的core文件大小限制,即ulimit -c。 ulimit -c unlimited 如果希望core limit永久生效,需要修改 /etc/security/limits.conf 文件,并且重新.
sysctl -p报错 sysctl: cannot stat /proc/sys/net/nf_conntrack_xxxx: No such file or directory
热门推荐
ZYYPDH的博客
11-18 1万+
1、执行sysctl -p时报错如下: sysctl: cannot stat /proc/sys/net/netfilter/nf_conntrack_max: No such file or directory sysctl: cannot stat /proc/sys/net/netfilter/nf_conntrack_tcp_timeout_established: No such file or directory sysctl: cannot stat /proc/sys/net/netfil
Linux Disable Mounting of Uncommon Filesystem
weixin_39833509的博客
04-20 221
How do I disable mounting of uncommon file systems such as hfs, udf, cramfs etc under Fedora or CentOS / RHEL / Redhat Enterprise Linux? You need to edit /etc/modprobe.conf file to disable uncommon file system which can be loaded using Linux kernel driver.
详解modprobe的用法
软体疯子专栏
01-07 8078
1、modprobe 命令是根据depmod -a的输出/lib/modules/version/modules.dep来加载全部的所需要模块。2、删除模块的命令是:modprobe -r filename3、系统启动后,正常工作的模块都在/proc/modules文件中列出。使用lsmod命今也可显示相同内容。4、在内核中有一个“Automatic kernel moduleloadin
systemd: SULOGIN 为什么要大写呢; sulogin
mzhan017的博客
12-03 218
meson.build文件中有这么一段。最后会将progs的第一个元素转换成大写:prog[0].to_upper();这个是将其转换为宏定义。在程序使用时使用比如:static const char* const sulogin_cmdline[] = {SULOGIN, NULL};
linux core文件的设置
王者归来
06-26 280
L一、前言: 有的程序可以通过编译, 但在运行时会出现Segment fault(段错误). 这通常都是指针错误引起的. 但这不像编译错误一样会提示到文件某一行, 而是没有任何信息, 使得我们的调试变得困难起来. gdb: 有一种办法是, 我们用gdb的step, 一步一步寻找. 这放在短小的代码中是可行的, 但要让你step一个上万行的代码, 我想你会从此厌恶程序员这个名字, 而把他...
linux sysctl机制,Linux系统控制文件 /etc/sysctl.conf
weixin_35826751的博客
05-14 560
/etc/sysctl.conf这个目录主要是配置一些系统信息,而且它的内容全部是对应于/proc/sys/这个目录的子目录及文件。这样或许你不理解,先看看我的系统/etc/sysctl.conf这个文件里面有什么内容:cat /etc/sysctl.conffs.file-max = 3145728fs.suid_dumpable = 1kernel.core_uses_pid = 1kerne...
linux core文件默认位置,linux下core文件
weixin_29304713的博客
05-13 4907
linux下core文件参考:http://www.cnblogs.com/li-hao/archive/2011/09/25/2190278.html并整合其他参考资料在程序不寻常退出时,内核会在当前工作目录下生成一个core文件(是一个内存映像,同时加上调试信息)。使用gdb来查看core文件,可以指示出导致程序出错的代码所在文件和行数。1.core文件的生成开关和大小限制(1)使用ulimi...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

熊是本熊

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值