Linux主机安全加固

最新推荐文章于 2024-04-17 13:38:29 发布
最新推荐文章于 2024-04-17 13:38:29 发布
阅读量4.4k 收藏 30
点赞数 4
分类专栏: Linux 安全整改 信息安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_31457413/article/details/102317837
版权
Linux 同时被 3 个专栏收录
12 篇文章 2 订阅
订阅专栏
信息安全
11 篇文章 2 订阅
订阅专栏
安全整改
5 篇文章 1 订阅
订阅专栏

Linux主机安全加固

Redhat是目前企业中用的最多的一类Linux,而目前针对Redhat攻击的黑客也越来越多了。我们要如何为这类服务器做好安全加固工作呢?
本文针对系统的账户安全,最小化服务,访问控制,用户鉴别,审计策略等安全项进行整改及加固,达到提升系统安全,使系统能够抵御一定程度的攻击行为的目的!

加固目录

密码策略
升级openssh版本
设置终端超时
删除无效定时任务
删除无效一次性任务
进程管理
SSH安全配置
无效服务管理
防火墙策略
设置历史记录条数:
设置系统日志保留时间
锁定不必要用户

加固内容及方法

##################################################################################
####     以下部分操作属于高危操作,在未得到用户充分授权的情况下,请勿擅自修改         #####
##################################################################################

##################################################################################
# 1、系统登陆密码复杂度:
### 密码有效期控制 ###
vim /etc/login.defs 

## 修改如下行 ##
PASS_MAX_DAYS   180  #密码最长过期天数
PASS_MIN_DAYS   30   #密码最小过期天数
PASS_MIN_LEN    12   #密码最小长度
PASS_WARN_AGE   20   #密码过期警告天数

###备份###
cp /etc/login.defs /etc/login.defs.xu.bak

sed -i 's/PASS_MAX_DAYS   99999/PASS_MAX_DAYS   180/g' /etc/login.defs
sed -i 's/PASS_MIN_DAYS   0/PASS_MIN_DAYS   30/g' /etc/login.defs
sed -i 's/PASS_MIN_LEN    5/PASS_MIN_LEN    12/g' /etc/login.defs
sed -i 's/PASS_WARN_AGE   7/PASS_WARN_AGE   20/g' /etc/login.defs


### 密码复杂度控制 ###
vim /etc/pam.d/system-auth
### 找到 password requisite pam_cracklib.so 替换成如下:###
password  requisite pam_cracklib.so retry=5  difok=3 minlen=10 ucredit=-1 lcredit=-3 dcredit=-3 dictpath=/usr/share/cracklib/pw_dict
##################################################################################


##################################################################################
# 2、升级openssh版本;
### 按需做,这里暂且不对这项进行整改 ###
##################################################################################


##################################################################################
# 3、设置终端超时:
##后续优化对于已经存在配置的判断,一下方法暂用,不会影响整改结果##
echo 'export TMOUT=1800'>>/etc/profile
echo 'readonly TMOUT' >>/etc/profile
source /etc/profile
##################################################################################


##################################################################################
# 4、检查定时任务(防止病毒感染):
### 定时任务 ###
crontab -l
### 一次性任务检查 ###
at -l
##################################################################################

##################################################################################
# 5、检查异常进程(防止挖矿病毒,占用内存或者CPU):
### 检查cpu占用前10 ###
ps aux|sort -rn -k +3|head

### 检查内存占用前10 ###
ps aux|sort -rn -k +4|head
##################################################################################

##################################################################################
# 6、root用户远程登陆:
### 由于没有业务用户,修改此项会影响用户正常使用,所以在非必要情况下不进行配置 ###
vim /etc/ssh/sshd_config
# 设置如下行
PermitRootLogin yes
PermitRootLogin prohibit-password
## 可以修改默认端口保证安全性,按需 ##
Port 22
### 修改完配置之后记得重启服务生效 ###
service sshd restart
##################################################################################

##################################################################################
# 7、关闭无效的服务及端口:
##邮箱##
service postfix status
chkconfig --del postfix
chkconfig postfix off

##cups##
service cups status
chkconfig --del cups
chkconfig cups off

## 其他服务请手动检查 ##
##################################################################################

##################################################################################
# 8、设置防火墙策略:
####检查IPTABLES状态###
service iptables status

echo '请根据用户实际业务端口占用等情况进行设置!'

## 例如:vim /etc/sysconfig/iptables ,添加如下策略 ##
-A INPUT -m state --state NEW -m tcp -p tcp --dport 8080 -j ACCEPT
-A INPUT -m state --state NEW -m udp -p udp --dport 8080 -j ACCEPT

## 重启防火墙 ##
service iptabels restart
##################################################################################

##################################################################################
# 9、设置历史记录数量:
###备份###
cp /etc/profile /etc/profile_xu_bak

###修改###
sed -i s/'HISTSIZE=1000'/'HISTSIZE=5000'/g /etc/profile

###检查###
cat /etc/profile |grep HISTSIZE|grep -v export

##################################################################################

##################################################################################
# 10、日志保留半年以上:

###备份###
cp /etc/logrotate.conf /etc/logrotate.conf_xu_bak

###修改###
sed -i s/'rotate 4'/'rotate 12'/g /etc/logrotate.conf

###重启####
service syslog restart

###检查###
cat /etc/logrotate.conf |grep -v '#' |grep rotate

##################################################################################

##################################################################################
# 11、锁定不必要的用户:

###备份###
cp -p /etc/passwd /etc/passwd_xu_bak
cp -p /etc/shadow /etc/shadow_xu_bak

###锁定不必要的用户###
### bin, sys,adm,uucp,lp, nuucp,hpdb, www, daemon ###
passwd -l bin
passwd -l sys
passwd -l adm
passwd -l uucp
passwd -l lp
passwd -l nuucp
passwd -l hpdb
passwd -l www
passwd -l daemon

##################################################################################

##################################################################################
### 连续6次输错密码禁用一段时间,建议配置成300秒 ###
##################################################################################

##################################################################################
### 配置系统超时自动退出,建议配置成300秒 ###
##################################################################################

总结:

整改文档可以写成一个完整的脚本,但是由于时间原因及出于安全性考虑,很多部分还是建议使用手动执行,防止不必要的麻烦出现

story-xu
关注
  • 4
    点赞
  • 30
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
SUSELinux主机安全加固通用操作指导书.doc
02-24
SUSELinux主机安全加固通用操作指导书
Linux安全加固
qq_58317810的博客
05-04 4041
目录 Linux安全加固——账户管理 Linux安全加固-服务管理 Linux安全加固-权限管理 Linux安全加固——账户管理 1、口令锁定策略 查看配置文件:more /etc/pam.d/password-auth auth required pam_tally2.so deny=5 onerr=fail unlock_time=300 even_deny_root=5 root_unlock_time=600 普通账户五次密码错误,300s后重试。root账户五次密码错误后,300..
Linux安全加固,最详细的解释小白也能听懂
最新发布
2401_84302583的博客
04-17 965
当系统验证出现问题时,首先应当检查/var/log/messages或者/var/log/secure中的输出信息,根据这些信息判断用户账号的有效性。当系统验证出现问题时,首先应当检查/var/log/messages或者/var/log/secure中的输出信息,根据这些信息判断用户账号的有效性。当系统验证出现问题时,首先应当检查/var/log/messages或者/var/log/secure中的输出信息,根据这些信息判断用户账号的有效性。对pam文件的修改应仔细检查,一旦出现错误会导致无法登陆;
安全加固Linux操作系统安全加固
wangluoanquan111的博客
01-04 703
通过上述步骤,可以在 /var/log/history 目录下以每个用户为名新建一个文件夹,每次用户退出后都会产生以用户名、登录IP、时间的日志文件,包含此用户本次的所有操作(root用户除外)。注意:部分系统可能使用syslog-ng日志,配置文件为:/etc/syslog-ng/syslog-ng.conf。通过脚本代码实现记录所有用户的登录操作日志,防止出现安全事件后无据可查。关闭不必要的服务(如普通服务和xinetd服务),降低风险。设置系统登录后,连接超时时间,增强安全性。
常用linux加固,Linux工作站加固的6个方法
weixin_31443757的博客
05-15 846
导读正如我之前说过,安全好比是在公路上开车――比你开得慢的人都是白痴,比你开得快的人都是疯子。本文介绍的这些准则只是一系列基本的核心安全规则,它们并不全面,也代替不了经验、谨慎和常识。你应该稍稍调整这些建议,以适合本企业的环境。对每个系统管理员来说,以下是应该采取的一些必要步骤:1.一律禁用Firewire和Thunderbolt模块。2.检查防火墙,确保所有入站端口已被过滤。3.确保root邮件...
linux安全加固-三级等保(一)
天道酬勤
06-21 1396
linux安全加固
linux安全加固(2),2024年最新网络安全高级工程师进阶学习—网络安全热修复原理
UYruihu的博客
04-10 668
目的:让ls随时看清文件属性,让rm需要确认后删除目标实施方法1.修改当前用户的登录启动脚本。
SUSE LINUX主机安全加固
08-18
SUSE LINUX主机安全加固,SUSE LINUX主机安全加固,SUSE LINUX主机安全加固
SUSE Linux主机安全加固
09-22
一线维护工程师和安全专业服务工程师进行SUSE LINUX系统管理和维护指南,有助于熟悉LINUX系统安全加固流程。
Linux系统的安全加固
weixin_45612728的博客
10-27 899
Linux系统的安全加固
安全加固Linux系统的方法
m0_72838865的博客
08-05 3036
最好为特殊的应用程序单独开一个分区,特别是可以产生大量日志的程序,还建议为/home单独分一个区,这样他们就不能填满/分区了,从而就避免了部分针对Linux分区溢出的恶意攻击。这个文件就是/etc/xinetd.conf,它制定了/usr/sbin/xinetd将要监听的服务,你可能只需要其中的一个:ftp,其他的类似:Telnet、shell、login等,除非你真的想用它,否则统统关闭。一个配置适当的防火墙不仅是系统有效应对外部攻击的第一道防线,也是最重要的一道防线。可以使用该方法关闭不必要的端口。..
等级保护2.0 Linux加固 Redhat 加固 基线
10-21
Linux安全加固基线。从扫描器中导出的配置结果,提供了检查项目、配置命令等。能够为Linux提供较好的加固方案。
等保主机安全基线合规--配置指导linux系统.pdf
07-31
身份鉴别策略组检测 1.1 口令周期检测 1.1.1 最长使用周期小于等于90天 1.1.2 最短更换周期大于等于2天 1.1.3 距失效提示天数大于等于5天 1.2 密码复杂度检测 1.2.1 密码复杂性要求 1.3 登录锁定检测 1.3.1 普通用户触发锁定次数小于等于5 1.3.2 普通用户锁定时间大于等于5分钟 1.3.3 Root用户触发锁定次数小于等于5 1.3.4 Root用户锁定时间大于等于5分钟 1.4 root权限用户 1.4.1 root权限用户检测 1.5 wheel组 1.5.1 wheel组检测 1.6 相同ID用户 1.6.1.相同ID用户检测
linux系统 安全整改
laokaizzz的专栏
05-27 2363
1.备份 /etc 文件夹 和 /home等目录 mkdir /backup  tar -cPpf /backup/etc20170526.bak.tar /etc 还原 tart  tar ——overwrite -xpf /backup/home.bak.tar -C / 2.修改用户名密码 http://jingyan.baidu.com/article/9989c7463a
Linux服务器加固方案
qq_33168577的博客
03-20 1万+
    前言:本人在几家小厂做开发,主Java,因人手问题,前端/安卓/服务器等都有涉猎。这里我结合网上各位大佬的经验和自己收获总结。对Linux服务器安全 和 防火墙的配置 和 服务器加固方案 进行简单的讲解,防止初级黑客的攻击,文章主要是针对小白,和运维新手,写的不好,可能有些出入,欢迎各位大佬指点。        一、适用 Linux 操作系统版本    1.Red Hat     2.ce...
Linux服务器安全加固
热门推荐
谢公子的博客
09-30 3万+
目录 对未经过安全认证的RPM包进行安全检查 Linux用户方面的加固 设定密码策略​ 对用户密码强度的设定 对用户的登录次数进行限制 禁止ROOT用户远程登录 设置历史命令保存条数和账户超时时间 设置只有指定用户组才能使用su命令切换到root用户 对Linux账户进行管理 对重要的文件进行锁定,即使ROOT用户也无法删除 建立日志服务器 对未经过安全认证的RPM包进行安...
Linux常见的几种加固方法
YidaHu的博客
01-07 5578
1,shadow文件的存取权限漏洞 有rw权限不合规 cd /etc ls -l shadow chmod 400 shadow 2,group文件的存取权限漏洞 有rw权限不合规 ls -l /etc/group chmod 644 3,普通密码强度漏洞 vi /etc/login.defs 4,查看是否存在出root
Linux 加固(centos7)
一个码农的笔记
08-20 1万+
(1)寻找空密码的用户: 首先root账户建立一个用户: useradd user (这样建立的用户的是不能直接用空密码登陆的) 然后root账户用passwd -d user 清除user的密码(这样就可以用空密码登陆了) 查找空密码的用户 awk -F: '($2==””){print $1}' /etc/shadow 这样我们找到这样的空密码的用户:user 给空密码账户上密码:
安全漏洞整改解决方案(很不错网络文章)
天堂鸟(积累备忘)
03-18 2281
注意:以下所有操作須确认后再实施: [color=green][b]1. OpenSSH 相关漏洞 [/b][/color] 解决方案 升级OpenSSH为最新版本,目前为5.9,首先到官网(http://www.openssh.com/portable.html#http)下载:openssh-5.9p1.tar.gz 把OpenSSH 上传到服务器,首先检查升级前版本(以下所...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值