Linux安全基线加固之系统设置

最新推荐文章于 2024-08-21 10:29:54 发布
最新推荐文章于 2024-08-21 10:29:54 发布
阅读量756 收藏 4
点赞数 1
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_34398519/article/details/105620420
版权

1.关闭不必要的服务

who -r 查看当前init级别
chkconfig --list <服务名> 查看所有服务的状态
chkconfig --level <init级别> <服务名> on|off|reset”设置服务在个init级别下开机是否启动

编辑inetd.conf文件

第一步:chmod 600 /etc/inetd.conf  #只允许root读写
第二步:chown root /etc/inetd.conf  #确定所有者为root
第三步:vim /etc/inetd.conf  #关闭ftp, telnet, shell, login, exec, talk, ntalk, imap, pop-2, pop-3, finger,
auth等服务
第四步:killall -HUP inetd  #给inetd进程发送一个HUP信号
第五步:chattr +i /etc/inetd.conf  #文件设为不可修改   #其他重要文件也建议这样修改
建议使用xinetd代替inetd,前者在访问控制和日志审计方面有较大的增强
在/etc/inetd.conf中不需要的服务前加"#",较高版本中已经没有inetd,而换成了Xinetd;取消开机自动运行服务,把/etc/rc.d/rc3.d
下不需要运行的肥务的第一个字母"S"改成"K",其他不变.

如果需要修改,第一步:chattr -i /etc/inetd.conf   #取消不可修改属性

2.禁ping

echo 0 > /proc/sys/net/ipv4/icmp_echo_igore_all

3.环境变量安全性

echo $PATH | egrep '(^|:)(\.|:|$)',检查是否包含父目录
find `echo $PATH | tr ':' ' '` -type d \( -perm -002 -o -perm -020 \) -ls,检查是否包含组目录权限为777的目录
返回值包含以上条件,则低于安全要求

4.更改主机解析地址顺序 

vim /etc/host.conf
#Lookup names via DNS first then fall back to /etc/hosts.order bind,hosts 
#We have machines with multiple IP addresses. multi on #Check for IP address spoofing nospoof on

5.打开syncookie缓解syn flood攻击 

vim /etc/rc.d/rc.local 
#echo 1 > /proc/sys/net/ipv4/tcp_syncookies

6.提高未连接队列大小

sysctlnet.ipv4.tcp_max_syn_backlog 
sysctl -w net.ipv4.tcp_max_syn_backlog="2048"直接运行

7.禁止/etc/rc.d/init.d下某些脚本

cd /etc/rc.d/init.d 在不需要开机自动运行的脚本第一行写入 exit 0

8.加固snmp服务

vim /etc/snmp/snmps.conf
修改public默认团体名字符串
重启snmp服务

9.安装系统补丁

请慎重对系统打补丁,补丁安装应当先在测试机上完成。补丁安装可能导致系统或某些服务 无法工作正常,在下载补丁包时,一定要对签名进行核实,防止执行特洛伊木马

10.隐藏系统提示信息

vim /etc/rc.d/rc.local
rm -f /etc/issue 
rm -f /etc/issue.net

11.Grub/Lilo密码 检查方法

cat /etc/grub.conf|grep password 查看grub是否设置密码 
cat /etc/lilo.conf|grep password 查看lilo是否设置密码 
备份方法:  cp -p /etc/grub.conf /etc/grub.conf_bak #cp -p /etc/lilo.conf /etc/lilo.conf_bak
加固方法:为grub或lilo设置密码 
风险:etc/grub.conf通常会链接到/boot/grub/grub.conf

12.banner伪装

vim /etc/rc.d/rc.local
echo "Kernel $(uname -r) on $a $(uname -m)" >/etc/issue echo "Kernel \r on an \m" >>
/etc/issue cp -f /etc/issue /etc/issue.net echo >> /etc/issue

13.Apache banner

找到ServerTokens和ServerSignature两个directive,修改其默认属性
如下,使用不回显版本号: ServerTokens prod ServerSignature Off

14.禁用快捷键关机

vim /etc/inittab
#ca::ctrlaltdel:/sbin/shutdown -t3 -r now

 

super_m@n
关注
专栏目录
系统安全配置技术规范-Linux基线加固
05-28
人工评估(手工检查)是对工具评估的一种补充, 它不需要在被评估目标系统上安装任何软件,对目标系统的运行和状态没有任何影响,在不允许安装软件进行检查的重要主机上显得非常有用。安全专家对各主机系统、服务器、业务系统、数据库以及各种应用服务器在内的目标系统进行人工评估。
Linux操作系统安全防护基线配置要求
weixin_51590879的博客
09-05 1434
Linux操作系统安全防护基线配置要求
Linux 安全基线检查与加固_linux基线加固
最新发布
baimao__Ch的博客
08-21 607
umask值(用户文件创建掩码)是在Linux和其他类Unix系统中使用的一个重要概念,用于控制用户在创建新文件或目录时,默认赋予这些文件或目录的权限。umask是一个由三个八进制数字组成的值,分别对应文件或目录的用户(owner)、组(group)、其他人(others)的权限位。每个数字分别代表要从默认的最大权限中移除的权限位。在八进制表示中,数字4表示读权限(r),2表示写权限(w),1表示执行权限(x),而0表示没有任何权限。
linux安全加固基线操作手册
11-13
Centos6.8 作为服务器操作系统安全加固参考文档,涉及较多、较全
Linux安全基线检查与加固-服务管理
Sgirll的博客
10-01 578
在当前互联网时代,计算机系统面临着日益复杂的网络安全威胁。对于Linux服务器来说,保证系统安全性至关重要。Linux安全基线检查与加固是提高服务器安全性的重要步骤之一。本篇文章将重点介绍使用服务管理进行Linux系统安全基线的检查与加固的方法。
Linux系统安全配置基线
zdy0_2004的专栏
07-05 3380
http://www.cnblogs.com/sun-sunshine123/p/7119472.html 一:共享账号检查 配置名称:用户账号分配检查,避免共享账号存在 配置要求:1、系统需按照实际用户分配账号; 2、避免不同用户间共享账号,避免用户账号和服务器间通信使用的账号共享。 操作指南:参考配置操作:cat /etc/passwd查看当前所有用户的情况;
Linux系统基线加固脚本
04-25
Linux系统基线加固脚本
Rocky Linux 系统安全加固工具
10-08
Rocky Linux 系统安全加固工具。限制密码使用期限为 30 天,密码过期 30 天后,该账户将被禁用,设置两次修改密码的时间间隔为 1 天,在密码过期前 7 天将发出警告,将系统默认加密算法设置为 SHA512,将会话超时...
种便携式Linux系统基线安全加固工具研究.pdf
09-05
面对频繁的系统加固任务和手动操作带来的风险,本文着重研究了一种基于基线安全设计的便携式Linux操作系统安全加固工具。该工具旨在提高加固作业效率,降低人为操作风险,解决超高压输电公司面临的人力和时间消耗...
Linux主机安全基线加固
Kason_iWiki
09-15 1858
文章目录1.确保配置了bootloader配置的权限2.确保核心转储受到限制3.确保启用了地址空间布局随机化(ASLR)4.确保已配置SSH空闲超时间隔5.确保SSH MaxAuthTries设置为4或更低6.确保已禁用SSH空密码登录7.确保配置了密码尝试失败的锁定8.确保默认用户umask限制为027或更高9.确保默认用户shell超时为900秒或更短10.Nginx server_tokens基线11.Nginx未禁用隐藏文件12.OpenSSL版本1.0.2k ,存在漏洞 1.确保配置了bootlo
Linux安全基线检查与加固-权限管理
Sgirll的博客
10-04 394
Linux系统中,权限管理是确保系统安全的关键要素之一。正确的权限管理可以有效地防止未经授权的访问和恶意操作,保护系统的机密性和完整性。本文将介绍Linux安全基线的检查与加固方法,并重点关注权限管理。
Linux基线修复
02-18
Linux系统centos 7 Linux基线修复shell 脚本,请放心下载
linux7安全基线
11-13
安全基线文档,作为加固效果,加固操作的参考文档阅读
Linux安全基线加固
thinker
02-22 1419
Linux安全基线加固
Linux基线加固
hl1293348082的专栏
04-09 914
主机安全的风险级别除了漏洞,另一个重要的参考值是安全基线的风险分值,本次介绍的主要是结合目前公司的业务实际情况制作的一份安全基线脚本,供大家进行参考。 适用环境 适用环境:RedHat系统Linux 注意 在配置系统基线测试之前,虚拟机一定要提前制作快照,配置测试期间尽量不要退出登录状态,以便出现差错的时候能够及时回退。 基线配置内容 /etc/pam.d/system-auth 是用户使用pam认证模块的登录策略配置文件,配置用户密码的复杂度、登录失败暂锁、重复使用密码次数等都是配置此文
Linux安全加固,最详细的解释小白也能听懂
2401_84302583的博客
04-17 1068
系统验证出现问题时,首先应当检查/var/log/messages或者/var/log/secure中的输出信息,根据这些信息判断用户账号的有效性。当系统验证出现问题时,首先应当检查/var/log/messages或者/var/log/secure中的输出信息,根据这些信息判断用户账号的有效性。当系统验证出现问题时,首先应当检查/var/log/messages或者/var/log/secure中的输出信息,根据这些信息判断用户账号的有效性。对pam文件的修改应仔细检查,一旦出现错误会导致无法登陆;
centos7 设置grub密码及单用户登录实例
weixin_30770783的博客
11-20 717
centos7与centos6在设置grub密码的操作步骤上有很大的差别,特此记录供以后查用 grub加密的目的: 防止不法分子利用单用户模式修改root密码 给grub加密可以采用明文或者加密的密文两种,建议使用加密的密文方式,两者操作步骤上相差不多,本文以加密的密文为例 一.设置grub加密 1.使用grub2-mkpasswd-pbkdf2命令创建密文(一定的保存记住自己设置的密码)...
Tomcat安全加固规范
Butterfly0011的博客
03-11 1137
文章目录3 缩略语4 安全配置要求4.1 账号4.2 口令4.3 授权4.4 日志4.5 HTTP 加密协议 不做4.6 更改默认管理端口4.7 错误页面重定向4.8 目录列出4.9 系统 Banner 信息4.10 连接数设置4.11 禁用非法 HTTP 方法 yum install tomcat-webapps tomcat-admin-webapps #用此命令下载tomcat 3 缩略...
Linux 安全基线加固
12-16
为了加强Linux系统安全性,可以采取以下措施: 1.修改密码策略:可以通过修改密码策略来增强密码的复杂度和安全性。可以通过执行以下命令来查看密码策略: ```shell grep -E '^minlen|^minclass' /etc/security/...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值