Linux安全加固

已于 2023-04-08 10:20:14 修改
阅读量962 收藏 14
点赞数 3
文章标签: linux 服务器 运维
于 2023-03-29 18:45:42 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_39330735/article/details/129833425
版权

一、重要文件

        /etc/passwd         #记录本地用户的属性信息,如UID、GID

        /etc/shadow        #存放用户的口令信息 只有系统管理员能查看

        /etc/pam.d/system-auth     #账户安全配置文件

        /etc/login.defs               #修改登录的配置文件

        /etc/profile                        #Linux全局变量信息

        /etc/ssh/sshd config             #ssh服务配置文件

        letc/hosts.allow 与 /etc/hosts.deny         #控制外部主机对本机服务的访问

二、账户命令

1、针对账户操作的命令(删除不必要的用户,锁定用户)

        userdel     用户组          #删除张三用户

        groupdel   用户组            #删除组

        gpasswd -d zhangsan root    #把张三从root组中删除

        pass -d                     #清除用户密码。从而用户可直接登陆(没密码远程无法登录)

        pass -l                      #锁定用户

        pass -u                     #解锁用户,如果用户的密码被清除过,需要指定参数-f强制执行
        pass -s                     #查看账户的状态

2、命令

awk -F: '($2 == "") { print $1 }' /etc/shadow     #检测是否存在空密码账号

awk -F: '($3 == 0) { print $1 }' /etc/passwd    #检查非root账号的UID为0:(超级管理员权限)

3、配置口令的策略

①配置密码复杂度要求

vim /etc/login.defs

PASS_MAX_DAYS 90    #密码最长使用天数

PASS_MIN_LEN 12         #最小密码长度5

②配置账户认证失败锁定

vim /etc/pam.d/system-auth

onerr=fail deny=3       #连续登录失败3次

unlock_time=60                 #普通用户锁定60秒

even_deny_root root_unlock_time=1200     #root用户锁定1200秒

③配置终端超时

echo"export TMOUT=600">>/etc/profile          #超时时间为十分钟

三、权限管理

1、初始化文件权限

vim /etc/profile   #修改为027

 #文件夹默认权限777,文件默认666,减去umask值

2、限制能够su为root的用户

vim /etc/pam.d/su

这样,只有wheel组的用户可以su到root

操作样例:

 其他用户就速发su到root即使密码正确

usermod -G10 zhangsan          #将zhangsan用户加入到wheel组

gpasswd -d zhangsan wheel     #将zhangsan移除whell组

groups zhangsan                     #查看zhangsan在哪个组

3、控制sudo权限,确保只有root用户才拥有

vim /etc/sudoers      

四、日志配置

1、日志文件:

/var/log/lastlog                 #最后一次用户成功登陆的信息,时间、登陆IP等。

/var/log/messages         #常见的系统和服务错误信息。
/var/log/secure          #Linux系统安全日志,记录用户和工作组变换情况,用户登陆认证情况
/var/log/syslog                        #只记录警告信息,lastlog查看。
/var/log/cron               #记录定时任务的信息。
/var/log/btmp        #记录Linux登陆失败的信息,lastb查看.
/var/log/wtmp   #该日志文件永久记录每个用户登录、注销及系统的启动、停机的事件,last查看

2、syslog服务是否启用,查看配置

ps -aef | grep syslog

五、服务安全

1、SSH服务

vim /etc/ssh/sshd_config   #修改常用的22号端口

2、限制能够SSH登录的用户,禁止root远程登录

vim /etc/ssh/sshd_config     

 PermitRootLogin no    #禁止root远程登录

Allowusers zhangsan  #开通需要远程登录的用户

3、屏蔽banner信息

vim /etc/ssh/sshd_config       #修改配置文件  

 也可以修改/etc/motd 文件内容,其内容作为banner信息显示给登录用户

比如,如果你想给连接的用户显示其他内容。

自己做一个图,去警告远程登录的用户。

3、指定仅允许的IP登录

vim /etc/hosts.allow  #配置仅允许12.1来使用ssh连接

vim /etc/hosts.deny   #拒绝所有sshd的连接

六、其他配置

 1、开启防火墙

systemctl start iptables     #开启iptables

systemctl start firewalld    #开启firewalld

#并配置规则配合IDS来进行主动响应

2、部署IPS和IDS

①Suricata+iptables就可以实现IPS

②Wazuh中的action主动响应就可以进行主动响应

W金刚葫芦娃W
关注
  • 3
    点赞
  • 14
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
Linux安全加固手册
weixin_34054931的博客
12-06 1810
1 身份鉴别 1.1 密码安全策略 操作系统和数据库系统管理用户身份鉴别信息应具有不易被冒用的特点,口令应有复杂度要求并定期更换。 设置有效的密码策略,防止攻击者破解出密码 1)查看空口令帐号并为弱/空口令帐号设置强密码 # awk -F: '($2 == ""){print $1}' /etc/shadow 可用离线破解、暴力字典破解或者密码网站...
linux安全加固
qq_41453632的博客
01-09 1055
锁定系统中多余的自建账号: 执行  cat /etc/passwd       cat /etc/shadow 使用命令passwd -l <用户名>锁定不必要的账号 使用命令passwd -u <用户名>解锁需要恢复的账号   检查shadow中空口令账号: 执行:awk -F ":" '($2=="!"){print $1}' /etc/shadow 加固方法:p...
安全加固Linux操作系统安全加固
Karka_的博客
01-06 1518
通过上述步骤,可以在 /var/log/history 目录下以每个用户为名新建一个文件夹,每次用户退出后都会产生以用户名、登录IP、时间的日志文件,包含此用户本次的所有操作(root用户除外)。注意:部分系统可能使用syslog-ng日志,配置文件为:/etc/syslog-ng/syslog-ng.conf。通过脚本代码实现记录所有用户的登录操作日志,防止出现安全事件后无据可查。关闭不必要的服务(如普通服务和xinetd服务),降低风险。设置系统登录后,连接超时时间,增强安全性。
linux操作系统安全加固方法(最全,亲测有效)
07-08
linux操作系统安全加固方法(最全,项目亲测有效)
Linux CentOS发行版机安全加固——网络方面
最新发布
qq_44611153的博客
06-23 783
A(攻击者)发送TCP SYN,SYN是TCP三次握手中的第一个数据包,而当这个服务器返回ACK以后,A不再进行确认,那这个连接就处在了一个挂起的状态,也就是半连接的意思,那么服务器收不到再确认的一个消息,还会重复发送ACK给A。ICMP重定向用于优化路由策略,始终让主机的路由表保持最新最快的状态,这本身是一个对网络有益的机制。这就会使一个攻击者可以假冒一个主机的名义通过一个特殊的路径来获得某些被保护数据,就如使用服务器提供的服务时,可以通过服务器的ip地址访问到与其相连接的私有地址系统,对内网进行攻击。
linux服务器如何做安全加固(教给大家)
连界优站
07-17 994
本文由优站提供:https://it.u8u9.cn/552.html。
Linux系统安全加固指南(一)
君逍遥o
06-07 1718
Linux系统安全加固指南(一)
linux系统安全加固
xiejin007的博客
04-27 392
linux系统安全加固linux系统安全加固 linux系统安全加固 脚本 系统加固脚本下载地址: https://download.csdn.net/download/hzgnet2021/63201374 时间获取 脚本开头先获取本机时间 #Variable rq=`date +%Y%m%d` Linux禁用不使用的用户 将passwd先复制一份备份,然后将以下不使用的用户都禁用,如后期有需要恢复可使用 passwd -u lp 来进行恢复 #account setup echo '
LINUX安全加固手册.pdf
09-29
"LINUX安全加固手册" LINUX操作系统的安全加固是一项复杂的任务,需要从多方面入手,涵盖了密码安全策略、用户帐号安全、网络服务安全等多个方面。以下是LINUX安全加固手册中的一些关键知识点: 一、概述 LINUX...
linux安全加固加固
06-28
Linux中的各种日志集合 cd /var/log 查看ssh用户的登录日志: less secure 进入用户目录/home/oracle/,查看.bash_history文件: 首先通过 netstat -lnp 去查看当前开放的端口 对应的系统进程,发现可疑的直接...
Linux安全加固操作手册
12-28
"Linux 安全加固操作手册" 本文档将详细介绍 Linux 操作系统的安全加固操作手册,涵盖身份鉴别、用户口令安全、口令生存期限制、账号锁定策略等多个方面。 1. 身份鉴别 Linux 操作系统中,身份鉴别是非常重要的...
06-SUSE Linux安全加固
03-27
SUSE Linux 安全加固指南 SUSE Linux 安全加固Linux 操作系统的重要组成部分。作为一名 IT 专业人士,了解 SUSE Linux 安全加固的重要性和相关知识点是非常必要的。下面,我们将详细介绍 SUSE Linux 安全加固的...
Linux安全加固.pdf
08-21
Linux安全加固规范,
LINUX安全加固规范.doc
11-28
LINUX安全加固规范.doc
Linux安全加固功能
ywtool博客
02-28 1298
Linux运维工具-ywtool jiagu命令介绍
linux 安全加固
09-19
Linux安全加固可以采取以下措施: 1. 限制用户对系统资源的使用,以减缓DDOS等攻击危害: - 修改限制文件 `/etc/security/limits.conf`,设置用户的核心文件限制、进程数限制、内存限制等。 - 修改pam的本地登录...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值