Linux加固脚本

最新推荐文章于 2023-06-07 15:47:44 发布
置顶 最新推荐文章于 2023-06-07 15:47:44 发布
阅读量2.5k 收藏 13
点赞数 3
分类专栏: linux加固 文章标签: Linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lt_csvn/article/details/95475758
版权

前言

最近使用Linux搭建服务器,莫名奇妙的中了挖矿的病毒,导致CPU使用量到达100%,项目都无法启动了,并且清除程序和病毒脚本后,过几天又出现了,所以将此加固的步骤记录一下:

  • 服务器重新部署后,先新增一个用户,执行以下命令:
[root@2019sh001 ~]# useradd weblogic        # weblogic 是新增的用户名
[root@2019sh001 ~]# passwd weblogic         # 设置 weblogic 的密码
Changing password for user weblogic .
New password: 
Retype new password: 
passwd: all authentication tokens updated successfully.
  • 更新系统的软件,但不更新内核版本
[root@2019sh001 ~]# yum --exclude=kernel* update
  • 将以下脚本代码复制到 xxx.sh 文件中:
#! /bin/bash
# Date:2019-07-11
# Function:对账户的密码的一些加固
read -p  "设置密码最多可多少天不修改:" A
read -p  "设置密码修改之间最小的天数:" B
read -p  "设置密码最短的长度:" C
read -p  "设置密码失效前多少天通知用户:" D
sed -i '/^PASS_MAX_DAYS/c\PASS_MAX_DAYS   '$A'' /etc/login.defs
sed -i '/^PASS_MIN_DAYS/c\PASS_MIN_DAYS   '$B'' /etc/login.defs
sed -i '/^PASS_MIN_LEN/c\PASS_MIN_LEN     '$C'' /etc/login.defs
sed -i '/^PASS_WARN_AGE/c\PASS_WARN_AGE    '$D'' /etc/login.defs
 
echo "已对密码进行加固,新用户不得和旧密码相同,且新密码必须同时包含数字、小写字母,大写字母!!"
sed -i '/pam_pwquality.so/c\password    requisite     pam_pwquality.so try_first_pass local_users_only retry=3 authtok_type=  difok=1 minlen=8 ucredit=-1 lcredit=-1 dcredit=-1' /etc/pam.d/system-auth
 
echo "已对密码进行加固,如果输入错误密码超过3次,则锁定账户!!"
n=`cat /etc/pam.d/sshd | grep "auth required pam_tally2.so "|wc -l`
if [ $n -eq 0 ];then
sed -i '/%PAM-1.0/a\auth required pam_tally2.so deny=3 unlock_time=150 even_deny_root root_unlock_time300' /etc/pam.d/sshd
fi
 
echo  "已设置禁止root用户远程登录!!"
sed -i '/PermitRootLogin/c\PermitRootLogin no'  /etc/ssh/sshd_config
 
read -p "设置历史命令保存条数:" E
read -p "设置账户自动注销时间:" F
sed -i '/^HISTSIZE/c\HISTSIZE='$E'' /etc/profile
sed -i '/^HISTSIZE/a\TMOUT='$F'' /etc/profile
 
echo "已设置只允许wheel组的用户可以使用su命令切换到root用户!"
sed -i '/pam_wheel.so use_uid/c\auth            required        pam_wheel.so use_uid ' /etc/pam.d/su
n=`cat /etc/login.defs | grep SU_WHEEL_ONLY | wc -l`
if [ $n -eq 0 ];then
echo SU_WHEEL_ONLY yes >> /etc/login.defs
fi
 
echo "即将对系统中的账户进行检查...."
echo "系统中有登录权限的用户有:"
awk -F: '($7=="/bin/bash"){print $1}' /etc/passwd
echo "********************************************"
echo "系统中UID=0的用户有:"
awk -F: '($3=="0"){print $1}' /etc/passwd
echo "********************************************"
N=`awk -F: '($2==""){print $1}' /etc/shadow|wc -l`
echo "系统中空密码用户有:$N"
if [ $N -eq 0 ];then
 echo "恭喜你,系统中无空密码用户!!"
 echo "********************************************"
else
 i=1
 while [ $N -gt 0 ]
 do
    None=`awk -F: '($2==""){print $1}' /etc/shadow|awk 'NR=='$i'{print}'`
    echo "------------------------"
    echo $None
    echo "必须为空用户设置密码!!"
    passwd $None
    let N--
 done
 M=`awk -F: '($2==""){print $1}' /etc/shadow|wc -l`
 if [ $M -eq 0 ];then
  echo "恭喜,系统中已经没有空密码用户了!"
 else
echo "系统中还存在空密码用户:$M"
 fi
fi
 
echo "即将对系统中重要文件进行锁定,锁定后将无法添加删除用户和组"
read -p "警告:此脚本运行后将无法添加删除用户和组!!确定输入Y,取消输入N;Y/N:" i
case $i in
      [Y,y])
            chattr +i /etc/passwd
            chattr +i /etc/shadow
            chattr +i /etc/group
            chattr +i /etc/gshadow
            echo "锁定成功!"
;;
      [N,n])
            chattr -i /etc/passwd
            chattr -i /etc/shadow
            chattr -i /etc/group
            chattr -i /etc/gshadow
            echo "取消锁定成功!!"
;;
       *)
            echo "请输入Y/y or  N/n"
esac
  • 将第二个脚本复制到 xxx2.sh 文件中:
#linux服务器安全加固shell脚本
#!/bin/sh
# desc: setup linux system security
# author:skykws
# powered by www.16safe.com
# version 0.1.2 written by 2014.10.28
#account setup

passwd -l xfs

passwd -l news

passwd -l nscd

passwd -l dbus

passwd -l vcsa

passwd -l games

passwd -l nobody

passwd -l avahi

passwd -l haldaemon

passwd -l gopher

passwd -l ftp

passwd -l mailnull

passwd -l pcap

passwd -l mail

passwd -l shutdown

passwd -l halt

passwd -l uucp

passwd -l operator

passwd -l sync

passwd -l adm

passwd -l lp

# chattr /etc/passwd /etc/shadow

chattr +i /etc/passwd

chattr +i /etc/shadow

chattr +i /etc/group

chattr +i /etc/gshadow

# add continue input failure 3 ,passwd unlock time 5 minite

sed -i 's#auth       required     pam_env.so#auth       required     pam_env.so\nauth      required      pam_tally.so onerr=fail deny=3 unlock_time=300\nauth          required    /lib/security/$ISA/pam_tally.so nerr=fail deny=3 unlock_time=300#' /etc/pam.d/system-auth

# system timeout 5 minite auto logout

echo "TMOUT=300" >>/etc/profile

# will system save history command list to 10

sed -i "s/HISTSIZE=1000/HISTSIZE=10/" /etc/profile

# enable /etc/profile go!

source /etc/profile

# add syncookie enable /etc/sysctl.conf

echo "net.ipv4.tcp_syncookies=1" >> /etc/sysctl.conf

sysctl -p # exec sysctl.conf enable

# optimizer sshd_config

sed -i "s/#MaxAuthTries 6/MaxAuthTries 6/" /etc/ssh/sshd_config

sed -i "s/#UseDNS yes/UseDNS no/" /etc/ssh/sshd_config

# limit chmod important commands

chmod 700 /bin/ping

chmod 700 /usr/bin/finger

chmod 700 /usr/bin/who

chmod 700 /usr/bin/w

chmod 700 /usr/bin/locate

chmod 700 /usr/bin/whereis

chmod 700 /sbin/ifconfig

chmod 700 /usr/bin/pico

chmod 700 /bin/vi

chmod 700 /usr/bin/which

chmod 700 /usr/bin/gcc

chmod 700 /usr/bin/make

chmod 700 /bin/rpm

# history security

chattr +a /root/.bash_history

chattr +i /root/.bash_history

# write important command md5

cat > list << "EOF" &&

/bin/ping

/bin/finger

/usr/bin/who

/usr/bin/w

/usr/bin/locate

/usr/bin/whereis

/sbin/ifconfig

/bin/pico

/bin/vi

/usr/bin/vim

/usr/bin/which

/usr/bin/gcc

/usr/bin/make

/bin/rpm

EOF

for i in `cat list`

do

if [ ! -x $i ];then

echo "$i not found,no md5sum!"

else

md5sum $i >> /var/log/`hostname`.log

fi

done

rm -f list
  • 将此两个脚本复制到服务器中,并且添加可执行权限:
[root@2019sh001 ~]# chmod 777 xxx.sh
[root@2019sh001 ~]# chmod 777 xxx2.sh
[root@2019sh001 ~]# ./xxx.sh 
[root@2019sh001 ~]# ./xxx2.sh

执行完脚本后:

  1. 无法直接用root用户登陆远程服务器;
  2. 密码输错三次锁定15分钟,防止密码被强制破解;
  3. 用户登陆只能通过先登陆weblogic用户,再通过 su root ,进行切换到root环境;
  4. 需要添加的用户需要在脚本执行之前添加,不然执行脚本后无法添加用户及修改密码,需要去除文件的i权限;
  5. 系统的信息会被隐藏,用户无法进行查看及修改;
37.1 ℃
关注
  • 3
    点赞
  • 13
    收藏
    觉得还不错? 一键收藏
  • 10
    评论
专栏目录
Linux安全加固手册
weixin_34054931的博客
12-06 1702
1 身份鉴别 1.1 密码安全策略 操作系统和数据库系统管理用户身份鉴别信息应具有不易被冒用的特点,口令应有复杂度要求并定期更换。 设置有效的密码策略,防止攻击者破解出密码 1)查看空口令帐号并为弱/空口令帐号设置强密码 # awk -F: '($2 == ""){print $1}' /etc/shadow 可用离线破解、暴力字典破解或者密码网站...
Linux系统基线加固脚本
04-25
Linux系统基线加固脚本
linux加固脚本.sh
10-19
二级等保加固脚本linux版本
Linux系统安全加固脚本
河静
12-15 3424
#!/bin/bash # #*********************************************************************** #Author:ZHANGhaodong #Date:2021-12-09 #FileName:kylin_security_force_20211209.sh #Installation:Mini #SystemOS(适用os): 1.Kylin Linux Advanced Server release V10 (SP2) /(Sw
安装zabbix 5.0
雅冰石的专栏
04-02 2805
一 实验环境 ip 部署组件 备注 192.168.144.251 nginx+php+mysql+zabbix_server php版本必须是7.2.0以上 二 实验步骤 #先将所有安装包上传到/opt下: #解压 tar zxf nginx-1.14.0.tar.gz -C /usr/local/src/ tar zxf zlib-1.2.11.tar.gz.
linux安全加锁
weixin_34038652的博客
12-12 176
chattr +ia /etc/passwd chattr +ia /etc/shadow chattr +ia /etc/group chattr +ia /etc/gshadow chattr +ia /etc/services lsattr /etc/passwd /etc/shadow /etc/group /etc/gshadow ...
Linux安全加固脚本
Sajor的博客
08-09 2077
刚拿到一台全新的Linux服务器怎么办?让我们从四个方面来预防Linux安全问题。
linux安全加固
m0_51553670的博客
06-01 3680
目的:在设备权限配置能力内,根据用户的企业需要,配置其所需的最小权限,以减少非法访问的可能性。目的:修改创建文件或目录时的默认权限,防止属于该组的其他用户级别组的用户修改该用户的文件。目的:删除系统不需要的默认账号、更改危险账号的默认shell变量,降低被利用的可能性。目的:对于采用静态密码认证的设备,账户密码的生存周期不长于90天。目的:限制用户对系统资源的使用,减缓DDOS等攻击危害。目的:关闭无用服务,提高系统性能,减低漏洞风险。目的:规范使用高强度密码,延长被爆破的时间。
Linux系统安全加固指南(一)
君逍遥o
06-07 1466
Linux系统安全加固指南(一)
linux主机加固相关命令
weixin_43622525的博客
12-07 535
1一些状态查看命令 Linux 服务管理两种方式service和systemctl systemd是Linux系统最新的初始化系统(init),作用是提高系统的启动速度,尽可能启动较少的进程,尽可能更多进程并发启动。 systemd对应的进程管理命令是systemctl systemctl status auditd //查看状态 日志状态 systemctl status rsyslog 查看规则 cat /etc/audit/audit.rules //查看规则 ..
安全加固linux安全加固
qq_45174221的博客
02-11 803
本文章旨在说明如何尽可能地加强Linux的安全性和隐私性。 列出的所有命令都将需要root特权。 免责声明:非专业人员请不要尝试在本文中的任何内容。
Linux自动加固脚本
12-19
详细介绍Linux脚本加固方法,加固密码策略,账户策略等。
一个实用的Linux基线加固脚本
06-28
Linux安全基线加固脚本,可用于对Linux操作系统进行基线加固,适用于Redhat Enterprise Linux,CentOS等。
linux服务器安全加固shell脚本代码
09-15
有时候安装完服务器以后,需要一些安全设置,这段脚本就是为了安全加固所写,需要的朋友可以参考下
infrared-remote-candroid studiodemo
05-05
android studio下载
【新质生产力】新质生产力赋能智能制造数字化解决方案.pptx
05-05
【新质生产力】新质生产力赋能智能制造数字化解决方案.pptx
基于matlab实现的用于应用布格重力异常数据反演地下异常密度体.rar
05-05
基于matlab实现的用于应用布格重力异常数据反演地下异常密度体.rar
node-v8.10.0-linux-x64.tar.xz
最新发布
05-05
Node.js,简称Node,是一个开源且跨平台的JavaScript运行时环境,它允许在浏览器外运行JavaScript代码。Node.js于2009年由Ryan Dahl创立,旨在创建高性能的Web服务器和网络应用程序。它基于Google Chrome的V8 JavaScript引擎,可以在Windows、Linux、Unix、Mac OS X等操作系统上运行。 Node.js的特点之一是事件驱动和非阻塞I/O模型,这使得它非常适合处理大量并发连接,从而在构建实时应用程序如在线游戏、聊天应用以及实时通讯服务时表现卓越。此外,Node.js使用了模块化的架构,通过npm(Node package manager,Node包管理器),社区成员可以共享和复用代码,极大地促进了Node.js生态系统的发展和扩张。 Node.js不仅用于服务器端开发。随着技术的发展,它也被用于构建工具链、开发桌面应用程序、物联网设备等。Node.js能够处理文件系统、操作数据库、处理网络请求等,因此,开发者可以用JavaScript编写全栈应用程序,这一点大大提高了开发效率和便捷性。 在实践中,许多大型企业和组织已经采用Node.js作为其Web应用程序的开发平台,如Netflix、PayPal和Walmart等。它们利用Node.js提高了应用性能,简化了开发流程,并且能更快地响应市场需求。
linux安全加固脚本
05-13
Linux安全加固脚本是指一种自动化工具,能够识别系统漏洞和安全风险,并通过一些预测措施来增强系统的安全性和减少潜在威胁,提高系统的整体程序。这种脚本可以自动化执行操作系统的安全加固步骤,包括限制用户访问...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 10
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值