Linux服务器配置系统安全加固方法

已于 2023-07-29 11:55:06 修改
阅读量4k 收藏 7
点赞数
分类专栏: 服务器 文章标签: linux 服务器 系统安全
于 2023-02-24 17:28:04 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lordforce/article/details/129204755
版权


1. SSH空闲超时时间建议为: 600-900
解决方案: 在【/etc/ssh/sshd_config】文件中设置【ClientAliveInterval】设置为600到900之间

vim /etc/ssh/sshd_config #将 ClientAliveInterval 参数值设置为 900

2. 修改检查SSH密码修改最小间隔
解决方案: 在【/etc/login.defs】文件中设置 【PASS_MIN_DAYS】 参数值大于等于7,需同时执行命令设置root 密码失效时间 命令如下:

vim /etc/login.defs #将 PASS_MIN_DAYS 参数值设置为 7
chage --mindays 7 root

3. 检查SSH密码失效时间
解决方案: 使用非密码登陆方式密钥对,请忽略此项。 在【/etc/login.defs】文件中将【PASS_MAX_DAYS】参数值设置为90-180之间,需同时执行命令设置root 密码失效时间 命令如下:

vim /etc/login.defs #将 PASS_MAX_DAYS 参数值设置为 90
chage --maxdays 90 root

4. 修改 SSH 最大连接数
解决方案: 1、在【/etc/ssh/sshd_config】文件中设置【MaxAuthTries】参数值为3-5

vim /etc/ssh/sshd_config #将 MaxAuthTries 参数值设置为 3

5. 修改 SSH 密码长度要求
解决方案: 在【/etc/security/pwquality.conf】 文件中把【minlen】(密码最小长度)参数值设置为9-32位

vim /etc/security/pwquality.conf #将 minlen 参数值设置为 32

6. 修改 SSH 密码复杂度要求
在【/etc/security/pwquality.conf】文件中,把【minclass】(至少包含小写字母、大写字母、数字、特殊字符等4类字符中等3类或4类)设置为3或4。

vim /etc/security/pwquality.conf#将 minclass 参数值设置为 4

7. 内存安全-开启地址空间布局随机化
解决方案: 在【/proc/sys/kernel/randomize_va_space】 文件中,将值设置为2。
vim /proc/sys/kernel/randomize_va_space ,将值设为2。

vim /proc/sys/kernel/randomize_va_space #将值设置为 2

或者通过如下命令设置:

sysctl -w kernel.randomize_va_space=2

8. 修改 【/etc/profile】 用户缺省权限
【/etc/profile】 文件中所设置的umask为002,不符合要求,建议设置为027。

vim /etc/profile #将 umask 参数值设置为 027

9. 修改 【/etc/bashrc】 用户缺省权限
【/etc/bashrc】 文件中所所设置的umask为002,不符合要求,建议设置为027。

vim /etc/bashrc #将 umask 参数值设置为 027

10. 修改 【/etc/csh.cshrc】 用户缺省权限检查
【/etc/csh.cshrc】 文件中所所设置的umask为002,不符合要求,建议设置为027。

vim /etc/csh.cshrc #将 umask 参数值设置为 027

11. 检查 Nginx 是否存在版本泄露
解决方案: 在【/www/server/nginx/conf/nginx.conf】文件中设置server_tokens off。

vim /www/server/nginx/conf/nginx.conf #将 server_tokens 参数值设置为 off

12. 检查 PHP 是否存在版本泄露
解决方案: 在【php.ini】文件中设置【expose_php】将配置为Off。

vim /www/server/php/73/etc/php.ini #将 expose_php 参数值设置为 Off

13. 检查ls和rm命令是否设置别名
解决方案: 在【/www/server/pure-ftpd/etc/pure-ftpd.conf】文件中,修改【Umask】将配置为 177:077。

vim /www/server/pure-ftpd/etc/pure-ftpd.conf

14. 检查用户FTP访问安全配置
解决方案:

1). 在【~/.bashrc】文件中,添加或修改 alias ls='ls -alh'以及alias rm='rm -i'

~/.bashrc

2). 执行【source ~/.bashrc】使配置生效

source ~/.bashrc

15. 检查重要文件是否存在suid和sgid权限

解决方案:使用chmod u-s/g-s 【文件名】命令修改文件的权限,去除sid位

chmod u-s/g-s 【文件名】

LordForce
关注
  • 0
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
1 Linux SSH安全加固
qq_40907977的博客
02-06 1760
Linux SSH 安全加固,这里使用CentOS7.5 做演示 一、配置SSH双因素登录 ​ 1.确定系统时钟是正确的 ​ 2.安装相关依赖 ​ yum install -y git gcc automake autoconf libtool make pam-devel ​ 3.安装google 验证器 git clone https://github.com/google/google-a...
Linux服务器操作系统加固方法
09-15
本帮助手册旨在指导系统管理人员或安全检查人员进行Linux操作系统的安全合规性检查和加固,需要的朋友可以参考下
Linux 限制 SSH 最大连接数 / 限制用户最大连接数
weixin_45129218的博客
02-06 4977
linux 限制用户登录数
1 Linux SSH安全加固_linux system-auth
2401_83974173的博客
04-27 648
最近很多小伙伴找我要Linux学习资料,于是我翻箱倒柜,整理了一些优质资源,涵盖视频、电子书、PPT等共享给大家!
Linux CentOS发行版机安全加固——网络方面
最新发布
qq_44611153的博客
06-23 1704
A(攻击者)发送TCP SYN,SYN是TCP三次握手中的第一个数据包,而当这个服务器返回ACK以后,A不再进行确认,那这个连接就处在了一个挂起的状态,也就是半连接的意思,那么服务器收不到再确认的一个消息,还会重复发送ACK给A。ICMP重定向用于优化路由策略,始终让主机的路由表保持最新最快的状态,这本身是一个对网络有益的机制。这就会使一个攻击者可以假冒一个主机的名义通过一个特殊的路径来获得某些被保护数据,就如使用服务器提供的服务时,可以通过服务器的ip地址访问到与其相连接的私有地址系统,对内网进行攻击。
linux ssh安全加固
weixin_34185560的博客
05-05 182
线上用的是阿里云的ECS云主机,ssh是默认端口每天都会发现有ssh暴力破解的,虽然阿里云的防火墙拦截住了,但是可能某一天还是会破解所以需要修改默认的端口vi /etc/ssh/sshd_config去除#Port 22前面的#注释符号添加一行,端口号为2020(备注:很多科幻电影,2020年是地球末日)Port 22Port 2020然后重启ssh服务/etc/init.d...
安全加固linux加固
hakksjss的博客
04-09 522
(普通系统、涉密系统、核心业务系统等环境下对配至的要求不同,具体要分行业和国标)(分配权限时,最好和用户进行沟通,部份用户有计划任务需 求)和之前的配置结合,仅能普通用户登录,且仅有特定组用户可用。推荐:至少包含大、小写、数字、特殊字符中的最少两种。修改后端口扫描会增加时间成本,建议修改默认端口。,相当于将非文件所有者和所有者组的权限降低。端口转发(若用户有使用需求,则需声明)查看文件不做修改,硬要修改,记得备份。将上述两个配置前的注释去除,并设置为。、查看、关闭未知、不必要的服务。一切以你检查配置为准。
服务器最佳实践-Linux服务器SSH登录的安全加固
helpluozhao123的博客
11-26 1205
5、选择“云服务器列表”页签,在“ecs-f5a2”所在行,单击操作列的“绑定”。按照图5进行配置,单击“确定”。在步骤5中为云服务器绑定密钥对时,已勾选了“关闭密码登录方式”,此处的“PasswordAuthentication”必为“no”,只需验证即可。我们可以通过一些方法识别云服务器的安全风险,比如检查SSH状态,查看疑似恶意登录的IP,然后在“/etc/hosts.deny”中将这些地址禁止。按“i”进入编辑模式,在第17行,将注释符“#”删掉,修改为“Port 5000”。
Linux系统安全加固-openSSH升级
极墨
04-22 2129
本文在2018年7月13日亲测,安装环境CentOS7 1、安装telnet() 为确保升级出现问题导致服务器无法连接,先安装telnet以备不时之需。 [root@DZFP-DMZ-Server2 ~]# rpm -ivh telnet-0.17-64.el7.x86_64.rpm 警告:telnet-0.17-64.el7.x86_64.rpm: 头V3 RSA/SHA256 Signatu...
linux NFS 服务安全加固方法
01-10
NFS(Network File System)是 FreeBSD 支持的一种文件系统,它允许网络中的计算机之间通过 TCP/IP 网络共享资源。不正确的配置和使用 NFS,会带来安全问题。 概述 NFS 的不安全性,主要体现于以下 4 个方面: 缺少...
sshd_config
11-02
虚拟机中配置sshd_config,使更好版本ubutnu也可以使用xshell.fpt
等保2.0测评 linux服务器加固 基本安全配置手册.docx
12-25
等保2.0测评 Linux 服务器加固基本安全配置手册 Linux 服务器加固是等保2.0测评的重要组成部分,本手册提供了基本的安全配置手册,旨在帮助管理员快速实现 Linux 服务器的加固。下面是该手册中涵盖的知识点: 一、...
linux安装ssh不安全设置,关于linux ssh安全的加固方法
weixin_33835368的博客
05-13 168
关于linux ssh安全的加固方法为增强安全,先增加一个普通权限的用户:#useradd *****#passwd ******//设置密码生产机器禁止ROOT远程SSH登录:#vim /etc/ssh/sshd_config把PermitRootLogin yes改为PermitRootLogin no重启sshd服务#service sshd restart远程管理用普通用户*******登...
linux服务器如何做安全加固(教给大家)
连界优站
07-17 1019
本文由优站提供:https://it.u8u9.cn/552.html。
服务器安全加固措施(Linux_Centos7)
水布天
08-23 1153
Centos7服务器安全改造 1 概述 root用户作为系统的超级管理员,拥有对系统的所有访问权限,在使用root操作的过程中需要引起足够的重视。尤其是目前云服务器风起云涌,各位开发人员的主战场从线下转到了线上,云服务器成了很多人员每天打交道的一个环节,针对每次登陆看到的登陆失败XXXX次,给人的感觉就是今天家里的防盗门被开启过XXXX次,明明是你自己的家,看到这个场景不得不让你想抒发一下情感。本篇针对云服务器安全提升方面的介绍。 2 环境说明 服务器:阿贝云服务器 操作系统:Centos7.9.2009
Web安全和渗透测试有什么关系?
Python_0011的博客
03-31 584
做渗透测试的一个环节就是测试web安全,需要明白漏洞产生原理,通过信息收集互联网暴露面,进行漏洞扫描,漏洞利用,必要时进行脚本自编写和手工测试,力求挖出目标存在的漏洞并提出整改建议,当然如果技术再精一些,还要学习内网渗透(工作组和域环境),白盒审计,app,小程序渗透那些了......可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。当然除了有配套的视频,同时也为大家整理了各种文档和书籍资料&工具,并且已经帮大家分好类了。总之,web安全包含于渗透测试,但不是渗透测试的全部。
万字长文---手把手教你加固内核安全配置
热门推荐
Rethinking the Kernel
08-01 1万+
从内核安全配置的角度来分析了KSPP,在LSM机制、漏洞利用分析、栈溢出攻击等方面会有真实利用场景,后续会逐步更新相关文章
Linux密码定期更换时间配置
凌奇寒雪的博客
04-28 5660
Linux密码定期更换时间配置的一些注意事项。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值