Linux系统加固

最新推荐文章于 2024-06-10 15:00:05 发布
最新推荐文章于 2024-06-10 15:00:05 发布
阅读量432 收藏
点赞数
分类专栏: Linux 文章标签: Linux系统加固
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/h2728677716/article/details/100831844
版权

  1. 系统加固基本措施
    系统账号清理(无用的、长时间不用的、程序用户)
    Userdel/ passwd -l/ usermod -s /sbin/nologin
    Userdel –r +用户 删除用户
    Userdel +用户名 删除无用的账户,有时候有人离职,可以把用户删除,但是用户里的文件保留下来了,再确认文件没用后再userdel +r 进行删除

    Passwd  -l +用户名   锁定账户
Passwd –u +用户名   解锁账户

Usermod –s /sbin/nologin mysql   程序用户修改它的登录shell
Chattr +I /etc/passwd /etc/shadow   锁定文件,不允许修改
Lsattr /etc/passwd /etc/shadow   查看锁定文件状态
Chattr –I /etc/passwd /etc/shadow   允许修改

Vim /etc/login.defs      
PASS_MAX_DAYS   9999    设定用户有效期,是用户新建的用户,修改配置文件后,以后新建的用户日期都是按照这个数值,如果想变回原来的时间段,可以在此配置文件中改时间段,可以tail /etc/shadow查看用户有效期
Chage –M 90 lisi   适用于已有的账户修改有效期

Chage –d 0 zhangsan 设定某个用户第一次登陆必须改口令

修改文件 /etc/profile 修改命令历史记录查找HISTORY
./etc/prifile执行生效,或者下次启动的时候生效

用户登录在离开后设置超时时间,在超过超时时间后自动注销。
/etc/profile
Export TMOUT=600 (600秒)
修改后执行./etc/profile

Vim /etc/ssh/sshd_config
PermitRootLogin yes改为no 禁止root登录
修改后重新启动服务systemctl restart sshd
注销退出后无法用root登录,只能用普通用户身份登录

为了进一步增加安全性,我们规定只有某些特定的用户才能使用su命令,如果想用su命令登陆必须知道普通用户口令和root管理员用户口令,
/etc/pam.d/su
打开pam_wheel.so模块,在wheel组当中可以使用su命令,不在wheel当中不能使用su命令,打开后退出,将用户添加到wheel当中;
gpasswd –a zhangsan wheel

sudo提权
visudo在配置文件中添加/etc/sudoer,保存的时候必须加wq!
例: lisi localhost=/sbin/useradd,/sbin/userdel,/sbin/usermod,/bin/passwd
用户 主机名=绝对路径命令
允许这个用户执行root下的以上命令
Sudo /sbin/useradd user111 注意:要写上sudo和绝对路径,下一次进行sudo提权,在五分钟之内可以不用验证输入口令
Lisi locolhost=/sbin*,!/sbin/ifconfig,!/sbin/route
除了后两个命令,其他命令都可以使用

用户登录日志在tail /var/log/sudo

开关机安全设置:开机之前计入固件-security-设置超级密码,再次重启想进入救援模式时需要密码

禁止ctl-alt-del三键重启 systemctl mask ctrl-alt-del.target 关闭三键重启服务
Systemctl daemon-reload 重新加载systemd服务

按e

Grub2-mkpasswd-pbkdf2回车,提示输入口令,产生了一个密文
Cat << EOF
Set superusers=”root”
Password_pbkdf2+密文
Vim /etc/grub.d/00_header将密文添加到文件最后

Touch /etc/nologin 禁止普通用户登录
Rm –rf /etc/nologin 删除后允许普通用户登录

弱口令检测:john the ripper
cd /usr/src
首先解包:tar zxf john-1.9.0.tar.gz
Cd john-1.9.0/
cd /src
make clean linux-x86-64
cp /etc/shadow /root/shadow.txt
cd …/run 进到上一级目录run
./john /root/shadow.txt 检测这个文件中有哪些弱口令

端口扫描:查看主机开启了哪些不必要的服务
yum install nmap –y
nmap 127.0.0.1扫描本机有哪些tcp端口和服务
namp –sU 127.0.0.1扫描本机udp端口和服务
namp –p 21 192.168.88.0/24 查看某一个网段的特定端口
namp –n –s P 192.168.88.0/24 查看某个网段有哪些存活主机
nmap-p 139,445 192.168.88.100-200 检测100-200这个网段是否开启共享文件服务
关闭无用端口,先检查一遍netstat –tunlp |grep :+端口
Killall 进程 关闭进程
可以用namp远程检测其他主机开启哪些端口和服务,假如有服务不想开启,可以远程登录然后杀死服务进程

海滩上的那乌克丽丽
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
linux安全加固-三级等保(一)
天道酬勤
06-21 1402
linux安全加固
linux系统安全加固方案
完颜振江
04-03 1184
Linux 系统进行安全加固是非常重要的,以确保系统免受恶意攻击和数据泄露。确保系统和安装的软件都及时更新到最新版本,以修复已知的漏洞和安全问题。在Linux系统中,你可以使用不同的命令和工具来定期更新系统和软件。以下是一些常用的命令和案例:这个命令会先更新可用的软件包列表,然后再升级所有已安装的软件包到最新版本。首先使用命令检查可用更新,然后使用命令升级所有可用的软件包。类似地,首先使用命令检查可用更新,然后使用命令升级所有可用的软件包。这个命令会更新所有已安装的Snap软件包到最新版本。
等保2.0 测评 linux服务器加固 基本安全配置手册
最新发布
2301_76786857的博客
06-10 1283
假如你想要搭建一个Linux服务器,并且希望可以长期维护的话,就需要考虑安全性能与速度等众多因素。一份正确的linux基本安全配置手册就显得格外重要。在我本文中就向大家介绍在edhat/centos 4,5下的Linux服务器基本安全配置手册。
Linux系统加固(基于等保2.0)
weixin_54438700的博客
01-13 587
文件功能/etc/login.defs文件定义了/etc/passwd和/etc/shadow配套的用户限制设置。这个文件是一定要存在的,缺失并不会影响系统的使用,但是会产生一些意想不到错误。如果/etc/shadow文件里有相同的选项,以/etc/shadow为准,/etc/shadow优先级高于/etc/login.defs。该文件修改后生效,无需重启。文件内容根据等保的要求,该文件需要修改口令有效期、口令最小长度。
Linux服务器通用基本安全加固
qq_56658276的博客
01-02 1007
文章内容主要包含Linux服务器的基础加固
【安全加固Linux操作系统安全加固
wangluoanquan111的博客
01-04 726
通过上述步骤,可以在 /var/log/history 目录下以每个用户为名新建一个文件夹,每次用户退出后都会产生以用户名、登录IP、时间的日志文件,包含此用户本次的所有操作(root用户除外)。注意:部分系统可能使用syslog-ng日志,配置文件为:/etc/syslog-ng/syslog-ng.conf。通过脚本代码实现记录所有用户的登录操作日志,防止出现安全事件后无据可查。关闭不必要的服务(如普通服务和xinetd服务),降低风险。设置系统登录后,连接超时时间,增强安全性。
LINUX系统加固.docx
06-24
Linux系统加固是一个重要的过程,旨在提高系统的安全性,防止未授权访问和恶意攻击。根据《可信计算机评估标准》(TCSEC)或"桔皮书",Linux系统的安全级别通常需要达到B2级别,即"结构化安全保护"。这一级别要求有...
linux系统加固
01-12
亲测 需要的可以下载 包含root不能直接登陆 ssh密码复杂度设置,输入密码错误次数等限制。。。
针对LInux系统加固
07-08
针对工控系统linux存在的安全问题,可针对Linux系统进行加固,对二次安防整改提供思路,有助于对能源系统安全防护。
LINUX系统加固.pdf
05-25
LINUX系统加固.pdfLINUX系统加固.pdfLINUX系统加固.pdfLINUX系统加固.pdfLINUX系统加固.pdf
Linux操作系统加固
悦分享
07-23 1420
如何尽可能地加强Linux的安全性和隐私性?以下列出的所有命令都将需要root特权。以“$”符号开头的单词表示一个变量,不同终端之间可能会有所不同。
等级保护2.0 Linux加固 Redhat 加固 基线
10-21
Linux的安全加固基线。从扫描器中导出的配置结果,提供了检查项目、配置命令等。能够为Linux提供较好的加固方案。
linux安全加固加固
06-28
last命令看一下近期的登陆情况 history 历史执行的命令 Linux中的各种日志集合 cd /var/log 查看ssh用户的登录日志: less secure 进入用户目录/home/oracle/,查看.bash_history文件: 首先通过 netstat -lnp  去查看当前开放的端口 对应的系统进程,发现可疑的直接干掉干掉之前确定是是否存在影响,若存在相关影响 应通报上级 若存在大量空连接 比如SYN_RECV状态  很有可能是存在拒绝服务攻击
linux服务器常用安全加固方法与常见命令介绍
qq_29566629的博客
02-17 1713
关闭不必要的服务 查看当前进程的命令: ps -ef 或者 ps -aux(最好使用ps-ef) 这里可以看到PID,想杀死一个进程使用 kill PID 命令 增加或者减少特殊文件的权限 查看权限的命令是 ll 如图: 查看passwd文件的权限: 如果是个网络服务器,不想让用户对用户系统进行修改,可以使用如下命令: 禁用不使用的账户 在passwd文件里的用户一行前加注释: 这样这个账户名就无法使用了,当登录时,会显示: 去掉注释以后会恢复正常。 ps:linux su..
服务器国际基线 等保二级等保三级 服务器加固记录
m0_62755018的博客
01-05 727
--------------------------------------内容已经在下面请各位享用------------------------------------------- 国际基线常见服务器加固常见办法 确保配置了密码尝试失败的锁定 描述 连续n次失败登录尝试后锁定用户。 处理建议 (处理时请先做备份) 编辑/etc/pam.d/password-auth 和/etc/pam.d/system-auth 文件,以符合本地站点策略: auth required pam_fail
Linux主机系统加固
supermeatboy223的博客
12-07 217
账号及口令 禁用或删除无用账号,减少系统无用账号,降低安全风险。 使用 cat /etc/shadow 查看用多少用户 使用命令 userdel <用户名> 删除不必要的账号。 使用命令 passwd -l <用户名> 锁定不必要的账号。 使用命令 passwd -u <用户名> 解锁必要的账号。 检查特殊账号 检查是否存在空口令和root权限的账号。 查看空口令和root权限账号,确认是否存在异常账号: 使用命令 awk -F: '($2=="")'
Linux 加固(centos7)
热门推荐
一个码农的笔记
08-20 1万+
(1)寻找空密码的用户: 首先root账户建立一个用户: useradd user (这样建立的用户的是不能直接用空密码登陆的) 然后root账户用passwd -d user 清除user的密码(这样就可以用空密码登陆了) 查找空密码的用户 awk -F: '($2==””){print $1}' /etc/shadow 这样我们找到这样的空密码的用户:user 给空密码账户上密码:
Linux服务器加固方案
qq_33168577的博客
03-20 1万+
    前言:本人在几家小厂做开发,主Java,因人手问题,前端/安卓/服务器等都有涉猎。这里我结合网上各位大佬的经验和自己收获总结。对Linux服务器安全 和 防火墙的配置 和 服务器加固方案 进行简单的讲解,防止初级黑客的攻击,文章主要是针对小白,和运维新手,写的不好,可能有些出入,欢迎各位大佬指点。        一、适用 Linux 操作系统版本    1.Red Hat     2.ce...
网络安全linux系统加固
10-20
网络安全是一个非常重要的话题,而Linux系统加固也是网络安全的一个重要方面。下面是一些常见的Linux系统加固措施: 1. 禁用不必要的服务:在Linux系统中,有很多服务是默认开启的,但是有些服务并不是每个用户都...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值