Linux安全基线加固之系统设置

最新推荐文章于 2024-08-21 10:29:54 发布
最新推荐文章于 2024-08-21 10:29:54 发布
阅读量769 收藏 4
点赞数 1
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_34398519/article/details/105620420
版权

1.关闭不必要的服务

who -r 查看当前init级别
chkconfig --list <服务名> 查看所有服务的状态
chkconfig --level <init级别> <服务名> on|off|reset”设置服务在个init级别下开机是否启动

编辑inetd.conf文件

第一步:chmod 600 /etc/inetd.conf  #只允许root读写
第二步:chown root /etc/inetd.conf  #确定所有者为root
第三步:vim /etc/inetd.conf  #关闭ftp, telnet, shell, login, exec, talk, ntalk, imap, pop-2, pop-3, finger,
auth等服务
第四步:killall -HUP inetd  #给inetd进程发送一个HUP信号
第五步:chattr +i /etc/inetd.conf  #文件设为不可修改   #其他重要文件也建议这样修改
建议使用xinetd代替inetd,前者在访问控制和日志审计方面有较大的增强
在/etc/inetd.conf中不需要的服务前加"#",较高版本中已经没有inetd,而换成了Xinetd;取消开机自动运行服务,把/etc/rc.d/rc3.d
下不需要运行的肥务的第一个字母"S"改成"K",其他不变.

如果需要修改,第一步:chattr -i /etc/inetd.conf   #取消不可修改属性

2.禁ping

echo 0 > /proc/sys/net/ipv4/icmp_echo_igore_all

3.环境变量安全性

echo $PATH | egrep '(^|:)(\.|:|$)',检查是否包含父目录
find `echo $PATH | tr ':' ' '` -type d \( -perm -002 -o -perm -020 \) -ls,检查是否包含组目录权限为777的目录
返回值包含以上条件,则低于安全要求

4.更改主机解析地址顺序 

vim /etc/host.conf
#Lookup names via DNS first then fall back to /etc/hosts.order bind,hosts 
#We have machines with multiple IP addresses. multi on #Check for IP address spoofing nospoof on

5.打开syncookie缓解syn flood攻击 

vim /etc/rc.d/rc.local 
#echo 1 > /proc/sys/net/ipv4/tcp_syncookies

6.提高未连接队列大小

sysctlnet.ipv4.tcp_max_syn_backlog 
sysctl -w net.ipv4.tcp_max_syn_backlog="2048"直接运行

7.禁止/etc/rc.d/init.d下某些脚本

cd /etc/rc.d/init.d 在不需要开机自动运行的脚本第一行写入 exit 0

8.加固snmp服务

vim /etc/snmp/snmps.conf
修改public默认团体名字符串
重启snmp服务

9.安装系统补丁

请慎重对系统打补丁,补丁安装应当先在测试机上完成。补丁安装可能导致系统或某些服务 无法工作正常,在下载补丁包时,一定要对签名进行核实,防止执行特洛伊木马

10.隐藏系统提示信息

vim /etc/rc.d/rc.local
rm -f /etc/issue 
rm -f /etc/issue.net

11.Grub/Lilo密码 检查方法

cat /etc/grub.conf|grep password 查看grub是否设置密码 
cat /etc/lilo.conf|grep password 查看lilo是否设置密码 
备份方法:  cp -p /etc/grub.conf /etc/grub.conf_bak #cp -p /etc/lilo.conf /etc/lilo.conf_bak
加固方法:为grub或lilo设置密码 
风险:etc/grub.conf通常会链接到/boot/grub/grub.conf

12.banner伪装

vim /etc/rc.d/rc.local
echo "Kernel $(uname -r) on $a $(uname -m)" >/etc/issue echo "Kernel \r on an \m" >>
/etc/issue cp -f /etc/issue /etc/issue.net echo >> /etc/issue

13.Apache banner

找到ServerTokens和ServerSignature两个directive,修改其默认属性
如下,使用不回显版本号: ServerTokens prod ServerSignature Off

14.禁用快捷键关机

vim /etc/inittab
#ca::ctrlaltdel:/sbin/shutdown -t3 -r now

 

super_m@n
关注
专栏目录
系统安全配置技术规范-Linux基线加固
05-28
人工评估(手工检查)是对工具评估的一种补充, 它不需要在被评估目标系统上安装任何软件,对目标系统的运行和状态没有任何影响,在不允许安装软件进行检查的重要主机上显得非常有用。安全专家对各主机系统、服务器、业务系统、数据库以及各种应用服务器在内的目标系统进行人工评估。
Linux操作系统安全防护基线配置要求
weixin_51590879的博客
09-05 1480
Linux操作系统安全防护基线配置要求
Linux 安全基线检查与加固_linux基线加固
最新发布
baimao__Ch的博客
08-21 914
umask值(用户文件创建掩码)是在Linux和其他类Unix系统中使用的一个重要概念,用于控制用户在创建新文件或目录时,默认赋予这些文件或目录的权限。umask是一个由三个八进制数字组成的值,分别对应文件或目录的用户(owner)、组(group)、其他人(others)的权限位。每个数字分别代表要从默认的最大权限中移除的权限位。在八进制表示中,数字4表示读权限(r),2表示写权限(w),1表示执行权限(x),而0表示没有任何权限。
linux安全加固基线操作手册
11-13
Centos6.8 作为服务器操作系统安全加固参考文档,涉及较多、较全
Linux安全基线检查与加固-服务管理
Sgirll的博客
10-01 611
在当前互联网时代,计算机系统面临着日益复杂的网络安全威胁。对于Linux服务器来说,保证系统安全性至关重要。Linux安全基线检查与加固是提高服务器安全性的重要步骤之一。本篇文章将重点介绍使用服务管理进行Linux系统安全基线的检查与加固的方法。
Linux系统安全配置基线
zdy0_2004的专栏
07-05 3410
http://www.cnblogs.com/sun-sunshine123/p/7119472.html 一:共享账号检查 配置名称:用户账号分配检查,避免共享账号存在 配置要求:1、系统需按照实际用户分配账号; 2、避免不同用户间共享账号,避免用户账号和服务器间通信使用的账号共享。 操作指南:参考配置操作:cat /etc/passwd查看当前所有用户的情况;
Linux系统基线加固脚本
04-25
Linux系统基线加固脚本
Rocky Linux 系统安全加固工具
10-08
Rocky Linux 系统安全加固工具。限制密码使用期限为 30 天,密码过期 30 天后,该账户将被禁用,设置两次修改密码的时间间隔为 1 天,在密码过期前 7 天将发出警告,将系统默认加密算法设置为 SHA512,将会话超时...
linux安全加固方案.pdf
03-15
以上就是针对Linux系统安全加固方案的主要内容。通过实施这些措施,可以显著提高系统安全性,保护数据免受未授权访问和潜在的安全威胁。需要注意的是,在执行任何安全策略之前,都应确保已经备份了相关文件,...
Linux 安全基线检查与加固
默默的博客
05-15 2466
虽然说Linux操作系统相比Windows系统更为安全一点,但是在实际使用当中,由于管理员的一些安全意识不够全面或者一时的疏忽,可能会导致Linux系统中的一些账户和服务没有进行正确的配置,这样就可能产生被黑客利用的风险,因此需要。
Windows Server服务器安全加固基线配置
weixin_44147924的博客
08-25 1711
一、账户管理、认证授权。
Windows安全基线加固
12-20
windows操作系统安全基线加固项,用于设备安全检查和加固工作
Windows安全基线检查与加固
默默的博客
05-18 1319
在实际win11的配置中,可能是”“,表格中的路劲为较老版本。
centos7 设置grub密码及单用户登录实例
weixin_30770783的博客
11-20 730
centos7与centos6在设置grub密码的操作步骤上有很大的差别,特此记录供以后查用 grub加密的目的: 防止不法分子利用单用户模式修改root密码 给grub加密可以采用明文或者加密的密文两种,建议使用加密的密文方式,两者操作步骤上相差不多,本文以加密的密文为例 一.设置grub加密 1.使用grub2-mkpasswd-pbkdf2命令创建密文(一定的保存记住自己设置的密码)...
Tomcat安全加固规范
Butterfly0011的博客
03-11 1153
文章目录3 缩略语4 安全配置要求4.1 账号4.2 口令4.3 授权4.4 日志4.5 HTTP 加密协议 不做4.6 更改默认管理端口4.7 错误页面重定向4.8 目录列出4.9 系统 Banner 信息4.10 连接数设置4.11 禁用非法 HTTP 方法 yum install tomcat-webapps tomcat-admin-webapps #用此命令下载tomcat 3 缩略...
隐藏Apache的版本号及其它敏感信息
apache6的专栏
05-16 4411
为了防止某些别有用心的家伙窥视我们的服务器,应该做些什么.我们来看一下相关的2个参数,分别为ServerTokens和ServerSignature,通过控制这2个阀门应该就能起到一些作用,比如我们可以在配置文件中这么写: ServerTokens Prod ServerSignature Off ServerTokens用于控制服务器是否相应来自客户端的请求,向客户端输出服务器系统类型或内置
snmp默认团体名/弱口令漏洞及安全加固
热门推荐
05-27 1万+
0x00基础知识 简单网络管理协议(SNMP)被广泛用于计算机操作系统设备、网络设备等领域监测连接到网络上的设备是否有任何引起管理上关注的情况。在运行SNMP服务的设备上,若管理员配置不当运行默认团体名/弱口令访问,将导致敏感信息泄露。敏感不限于系统运行的进程、已安装的软件、系统存在的用户,运行的服务,端口情况等。通过这些信息,攻击者可以清晰的了解到设备整体情况,根据开放的端口和服...
linux主机进行安全加固基线配置不包括安全漏洞修补)
weixin_33796177的博客
12-03 542
1. 应删除或锁定与设备运行、维护等工作无关的账号。 加固建议 参考配置操作 删除用户:#userdel username; 锁定用户: 1)修改cat /etc/shadow文件,用户名后加*LK* 2)将cat /etc/passwd文件中的shell设置成/bin/false 3)#passwd -l username 只有具备超级用户权限的使用者方可使用,#pass...
Ubuntu安全基线检查
咻一咻的博客
05-20 2170
设置密码失效时间 | 身份鉴别 描述 设置密码失效时间,强制定期修改密码,减少密码被泄漏和猜测风险,使用非密码登录方式(如密钥对)请忽略此项。 加固建议 使用非密码登录方式如密钥对,请忽略此项。在 /etc/login.defs中将 PASS_MAX_DAYS 参数设置为 60-180之间,如: PASS_MAX_DAYS 90 需同时执行命令设置root密码失效时间: chage --maxdays 90 root 操作时建议做好记录或备份 高确保密码到期警告天数为7或更多 | 身份鉴别 描述 确保
Linux 安全基线加固
12-16
为了加强Linux系统安全性,可以采取以下措施: 1.修改密码策略:可以通过修改密码策略来增强密码的复杂度和安全性。可以通过执行以下命令来查看密码策略: ```shell grep -E '^minlen|^minclass' /etc/security/...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值