Linux加固Paper

最新推荐文章于 2024-10-16 22:25:37 发布
最新推荐文章于 2024-10-16 22:25:37 发布
阅读量195 收藏
点赞数
分类专栏: 信息安全 文章标签: linux compiler ssh user 编译器 防火墙

beach翻译的,继续分享
目录:
1.BIOS
2.SSH安全
3.禁用telnet
4.禁用 代码编译
5.ProFTP
6.TCPwrappers
7.创建一个SU组
8.root通知
9.history安 全
10.欢迎信息
11.禁用所有特殊账户
12.chmod危险文件
13.指定允许root登陆的TTY设备
14. 选择一个安全的密码
15.检查Rootkit
16.安装补丁
17.隐藏Apache信息
18.隐藏php信息
19. 关闭不使用的服务
20.检测监听中的端口
21.关闭打开的端口和服务
22.删除不用的rpm包
23.禁用危险的php函 数
24.安装配置防火墙
25.安装和配置BFD
26.内核加固(sysctl.conf)
27.更改SSH端口
28./tmp /var/tmp,/dev/shm分区安全
29.PHP IDS

总结
========================================================================
介 绍

这个教程将一步步的指引你,使你的Linux系统变得安全。
任何默认安装的操作系统都是不够安全的,本文将指引你如何建立一个
相 对安全的Linux系统。
========================================================================
1.BIOS
你 应该总是在系统启动的时候设置一个BIOS密码和禁用从CD-ROM和软盘引导。
这将防止一些人未经允许访问你的系统和更改BIOS设置

2.SSH 安全
SSH是一个协议,利用它可以登录到一个远程系统或远程执行系统命令,
默认允许root登录,并且sshv1存在缺陷,我们应该在
sshd_config 禁止root访问和使用sshv2来让ssh更加安全。

方法:
vi /etc/ssh/sshd_config
把协议改为 2
PermitRootLogin = no
重启sshd /etc/rc.d/init.d/sshd restart

3. 禁用telnet
早期的Linux默认开启telnet服务,telnet,ftp,rlogin都是明文传输的协议
是容易被嗅探到的, 这就是为什么推荐使用安全的版本(sftp,scp,ssh)的原因
如果你必须要使用telnet,那么至少应该隐藏banner信息

方 法:
修改/etc/xinetd.d/telnet
disable=yes

4.禁用代码编译
你可以禁用代码编译并 且只把编译的权限分配给一个用户组
方法:
添加编译用户组 /usr/sbin/groupadd compiler ,cd /usr/bin
把常见的编译器所属组赋给编译用户组
chgrp compiler *cc*
chgrp compiler *++*
chgrp compiler ld
chgrp compiler as
设置mysqlaccess的访问
chgrp root mysqlaccess
设置权限
chmod 750 *cc*
chmod 750 *++*
chmod 750 ld
chmod 750 as
chmod 755 mysqlaccess
把用户添加到组里
修改/etc /group
compiler:x:520:user1,user2

5.ProFTP
你可以通过修改 proftpd.conf来禁止root登陆
方法:
修改/etc/proftpd.conf
Add RootLogin off
重 启proftpd /sbin/service proftpd stop
/sbin/service proftpd start

6.TCP wrappers
编辑hosts.allow和hosts.deny可以限制或允许访问inet服务

方法:
限制访问 inet服务
修改/etc/hosts.allow
建议格式:
#Approved IP addresses
ALL:192.168.0.1
ALL:192.168.5.2
#CSV uploader machine
proftpd:10.0.0.5
#pop3 from antwhere
ipop3:ALL
修 改/etc/hosts.deny
ALL:ALL EXCEPT localhostENY

7.创建SU用户组
因为我们在 SSH禁止了root用户访问并且禁用了telnet,所有我们应该
分配给一些用户su权限来获取root特权

方法:
vi /etc/group
添加一行 wheel:x:10:root,user1,user2
chgrp wheel /bin/su
chmod o-rwx /bin/su

8.root通知
当一个具有root权限的用户登录的时候发mail
方法:
编辑 /root下的.bashrc ,当有root权限的用户登录时发生email通知
echo 'ALERT - Root Shell Access (Server Name) on:' `date` `who` | mail -s

乐知学堂
关注
专栏目录
[AI in security]-216 开源威胁情报线索【仅供学习研究使用】
08-08 1567
暗网大屏:https://gcokedsa123.grafana.net/dashboard/snapshot/2OJ9OtmtitwiGcIqwIVhvzgmTKDBtTkF?9.深信服安全中心 https://wiki.sec.sangfor.com.cn/index/abroad。微步测绘:https://x.threatbook.com/v5/mapping。火花:https://ti.venuseye.com.cn/#/home。
Linux系统加固paper
ABC-II
04-16 1498
这个教程将一步步的指引你,使你的Linux系统变得安全。 任何默认安装的操作系统都是不够安全的,本文将指引你如何建立一个 相对安全的Linux系统。 ======================================================================== 1.BIOS 你应该总是在系统启动的时候设置一个BIOS密码和禁用从CD-ROM和软盘引导
linux系统加固paper
weixin_34143774的博客
10-09 105
总结转自:http://bbs.linuxtone.org/thread-6631-1-1.html========================================================================介绍这个教程将一步步的指引你,使你的Linux系统变得安全。任何默认安装的操作系统都是不够安全的,本文将指引你如何建立一个相对安全的L...
CentOS Linux release 7.4.1708 (Core)操作系统安全加固
weixin_40133285的博客
05-12 2238
CentOS Linux release 7.4.1708 (Core)操作系统安全加固 基线策略 口令复杂度 登录失败处理 操作审计 cat /etc/pam.d/system-auth cat /etc/login.defs PASS_MAX_DAYS 99999 cat /etc/pam.d/sshd cat /etc/passwd useradd user cat /etc/ssh/sshd_config PermitRootLogin no auditctl -s cat /etc/rsy
账户安全加固
weixin_48190887的博客
07-21 1388
安全加固 长久不用的账号让它识别不出来 [root@localhost ~]# useradd yuheng1 #新建账户 [root@localhost ~]# passwd yuheng1 #设置账户密码 Changing password for user yuheng1. New password: [root@localhost ~]# vi /etc/passwd #查看passwd文件shift+g翻到最底 yuheng1:x:1001:1001::/home/yuheng1:/bin/b.
Linux安全加固--系统相关
weixin_33738982的博客
09-28 2612
一、系统相关 1、系统关键文件设置 1.1、设置文件初始权限 设置默认的umask值,增强安全性。 [root@localhost ~]# umask 0022 /etc/profile最下面添加一行: [root@localhost ~]# vim /etc/profile umask 027 上面的设置,即新创建的文件属主拥有读写执行权限,同组用户拥有读和执行权限,其...
linux系统加固
weixin_34387284的博客
11-09 526
首 页 » 安全 » linux系统加固paper linux系统加固 目录: 1.BIOS 2.SSH安全 3.禁用telnet 4.禁用代码编译 5.ProFTP 6.TCPwrappers 7.创建一个SU组 8.root通知 9.history安全 10.欢迎信息 11.禁用所有特殊账户 12.chmod危险文件 13.指...
linux》笔记2
qaz5865026123的博客
02-22 2225
linux
Linux系统安全及应用
2301_82109773的博客
04-22 1685
usermod -s /sbin/nologin 用户名。
linux二进制分析
fa1lr4in的小博客
10-02 1635
文章大部分内容参考自书籍:《linux二进制分析》〔美〕Ryan O'Neill 著 人民邮电出版社 因为本人对二进制ELF方面的内容比较感兴趣,所以想要系统的学习一下linux二进制文件相关的技术以及利用技巧,上面提到的书解决了我很多的疑惑,强烈安利~~ 正文开始: 工具: 1、gdb 2、objdump:是优秀的分析简单的elf文件的工具,能快速的进行反编译;缺陷是需要依赖ELF节头,...
逆向学习(二) 安卓逆向
qq_41392887的博客
06-12 4111
安卓逆向 0、准备工作和大纲 JAVA环境、apktool、android APK、JADX、keytool、jarsigner(最后两个为JAVASDK自带工具) java基本知识:源代码文件为XXX.java;是编译性语言,编译后才可以运行(PYTHON是解释性语言,直接可以运行);JAVA编译后的文件是XXX.class,class文件是可执行文件;JAVA虚拟机运行可以运行XXX.class方法为java XXX.class 安卓下面的xxx.dex dex是安卓里可执行文件 安卓软件包:A
云原生之容器安全实践
jishulaozhuanjia的博客
03-14 339
个人博客导航页(点击右侧链接即可打开个人博客):大牛带你入门技术栈 概述 云原生(Cloud Native)是一套技术体系和方法论,它由2个词组成,云(Cloud)和原生(Native)。云(Cloud)表示应用程序位于云中,而不是传统的数据中心;原生(Native)表示应用程序从设计之初即考虑到云的环境,原生为云而设计,在云上以最佳状态运行,充分利用和发挥云平台的弹性和分布式优势。 ...
挖矿应急响应小结
bloodzer0
03-04 1077
背景:总结一下遇到挖矿时应该如何做应急响应与溯源分析。 1. 挖矿特征分析 当服务器或PC处于什么样的状态时,我们可以判定为被挖矿。通常来说,当我们的服务器或PC资源(CPU)使用率接近或超过100%,并持续高居不下导致服务器或PC操作延缓,我们就可以判定被挖矿。常见挖矿其它特征如下: 服务器或PC访问[过]不受信任的地址,这些地址包括:主机、IP、域名。这是由于大部分挖矿都需要从一个不受信任的...
# 驱动安全编码&排查指南
omgFuture的博客
02-17 775
驱动安全编码&排查指南 ​ 作者: 魏来 什么是驱动 驱动程序是IoT设备能驱使外设的一种代码程序。不常接触底层开发的读者可能会有一个误区,认为驱动程序是运行在外设器件里的。但是,其实驱动程序是运行在IoT 设备主机侧,由主机操作系统内核执行的代码。 举一个常见的驱动执行流程为例: 用户态app 使用系统调用 打开 设备驱动程序,并发送读写数据请求到驱动进行执行。运行在内核态的外设驱动代码 将请求转发到主机控制器驱
Linux介绍及常用命令
最新发布
小旺的博客
10-16 1070
1969 年,AT&T 公司的⻉尔实验室P MIT 合作开发的 Unix,í在于创建⼀个⽤于⼤型、并⾏、多⽤户的操作系统Unix 的推⼴:从学校⾛进企业Unix 的版本要两个:AT&T System V ——就是俗称的 系统 5linux是一种操作系统1991 年,芬兰赫尔⾟基⼤学的学⽣ Linus Torvals 为了能在家⾥的 PC 机上使⽤与学校⼀的操作系统,开始编写了类 UNIX.
linux逻辑卷扩容增加空间
放荡不羁爱自由
10-13 305
背景是使用vmware虚拟机安装的centos系统,在上面安装了mysql数据库为了测试千万级表模拟数据然后磁盘不够用了需要扩容。
Linux】解读信号的本质&相关函数及指令的介绍
YYDsis的博客
10-14 780
一.信号的本质与相关概念1.体现中断的例子:.系统定义的信号列表1.用kill -l命令可以察看系统定义的信号列表2.(ps&kill&raise&abort)进程指令&信号相关函数【总结】【1】ps指令【2】kill&raise函数介绍与演示【3】abort函数介绍与演示三.产生信号的四种方式1.通过终端按键产生信号(Core Dump)2.调用系统函数向进程发信号3.由软件条件产生信号4.硬件异常产生信号
Linux】ioctl分析
目标:MVP
10-14 1095
一个字符设备驱动通常会实现常规的openreleaseread和write接口,但是如果需要扩展新的功能,通常以ioctl接口的方式实现。fill:#333;user spacevfsdriverioctl()ulocked_ioctl()或compat_ioctl()user spacevfsdriver。
Linux动静态库
2301_76197086的博客
10-13 1132
详解Linux系统中的动静态库生成和使用,以及可执行程序运行时与动态库进行动态链接的原理
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值