linux 主机配置检查-1

已于 2023-04-20 17:51:44 修改
阅读量718 收藏
点赞数
分类专栏: linux 主机安全加固配置检查 文章标签: linux 服务器 ssh
于 2023-04-20 17:44:27 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41615095/article/details/130270489
版权

1、检查是否设置SSH登录前警告Banner

理论依据:
   横幅被用来警告用户连接特定站点的策略。为你的网站提供适当的警告横幅。
配置要求:
   SSH登录时显示警告信息,在登录成功前不泄漏服务器信息。
检查步骤
  查看文件/etc/ssh/sshd_config,检查是否存在如下配置:banner <file_path>,且<file_path>内容不为空。

合规标准
ssh服务器未启用或者服务启用但设置了ssh banner警示信息则合规,否则不合规。

加固方案
1、编辑文件/etc/ssh/sshd_config文件,修改Banner参数的值如下(如不存在则新增):
    Banner /etc/ssh_banner
2、执行如下命令创建ssh banner警示信息文件:
    touch /etc/ssh_banner
    chmod 644 /etc/ssh_banner
    echo "Authorized only. All activity will be monitored and reported" > /etc/ssh_banner
可根据实际需要修改该文件的内容。
3、重启sshd服务:
    systemctl restart sshd

在这里插入图片描述

在这里插入图片描述

登录测试
修改前

在这里插入图片描述

修改后

在这里插入图片描述

2、检查密码重复使用次数限制
配置要求:
    对于采用静态口令认证技术的设备,应配置设备,使用户不能重复使用最近5次(含5次)内已使用的口令。

检查步骤
    查看文件/etc/pam.d/system-auth,是否有配置口令重复使用次数限

合规标准
    口令重复使用次数限制不小于5次则合规,否则不合规。

加固方案
    1、配置文件备份
        cp -p /etc/pam.d/system-auth /etc/pam.d/system-auth.bak
    2、创建文件/etc/security/opasswd用于存储旧密码,并设置权限。
        touch /etc/security/opasswd
        chown root:root /etc/security/opasswd
        chmod 600 /etc/security/opasswd
    3、编辑文件/etc/pam.d/system-auth,找到类似行password  sufficient pam_unix.so,在行末尾增加remember=5,中间以空格隔开.如果没有则新增。
        password sufficient pam_unix.so remember=5

在这里插入图片描述

在这里插入图片描述

3、检查系统是否禁用Ctrl+Alt+Delete组合键

 介绍:
     Linux默认允许任何人按下Ctrl+Alt+Del来重启系统。但是在生产环境中,应该停用按下Ctrl-Alt-Del 重启系统的功能。
检查步骤
       查看文件找Ctrl+Alt+Del组合键配置:
       cat /etc/inittab    //提示在/usr/lib/systemd/system/ctrl-alt-del.target中配置
       删除ctrl-alt-del.target文件
       rm /usr/lib/systemd/system/ctrl-alt-del.target
       执行init q
合规标准
    禁用了使用组合键Ctrl+Alt+Delete重启系统则合规,否则不合规。

加固方案 
 1.备份文件:       cp /usr/lib/systemd/system/ctrl-alt-del.target /usr/lib/systemd/system/ctrl-alt-del.target.bat
 2.删除文件:       rm /usr/lib/systemd/system/ctrl-alt-del.target       
 3.执行命令       init q
    注:如果要开启这个功能,方法就是ln -s把软链接创建回去(或将备份文件去掉.bat后缀),再init q 重新reload一下配置文件。       ln -s /usr/lib/systemd/system/reboot.target /usr/lib/systemd/system/ctrl-alt-del.target

在这里插入图片描述

4、检查是否按用户分配账号
配置要求:
应按照不同的用户分配不同的账号,避免不同用户间共享账号,避免用户账号和设备间通信使用的账号共享。
检查步骤
1、使用如下命令查看文件/etc/login.defs,确认文件中变量UID_MIN和UID_MAX的值:
    #grep -v ^# /etc/login.defs |grep "^UID_MIN"|awk '($1="UID_MIN"){print $2}'
    #grep -v ^# /etc/login.defs |grep "^UID_MAX"|awk '($1="UID_MAX"){print $2}'
2、使用以下命令查看系统中是否存在用户id>=UID_MIN且<=UID_MAX的用户:
    #up_uidmin=`(grep -v ^# /etc/login.defs |grep "^UID_MIN"|awk '($1="UID_MIN"){print $2}')`
    #up_uidmax=`(grep -v ^# /etc/login.defs |grep "^UID_MAX"|awk '($1="UID_MAX"){print $2}')`
    #echo "users="`cat /etc/passwd|awk -F: '{if( $3>='$up_uidmin' && $3<='$up_uidmax' ) {print $1":"$3}}'`

合规标准
存在用户id>=UID_MIN且<=UID_MAX的用户则合规,否则不合规。

加固方案
    创建用户
    #useradd username    #创建账号
    #passwd  username    #设置密码修改权限

在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

5、检查重要目录或文件权限设置
配置要求:
    在设备权限配置能力内,根据用户的业务需要,配置其所需的最小权限。

检查步骤
    使用以下命令查看如下文件的权限设置:
    #ls -lL /etc/passwd 2>/dev/null
    #ls -lL /etc/shadow 2>/dev/null
    #ls -lL /etc/group 2>/dev/null

合规标准
    1、/etc/passwd文件的权限小于等于644
    2、/etc/shadow文件的权限小于等于400
    3、/etc/group文件的权限小于等于644
    以上条件同时满足则合规,否则不合规。

加固方案
    1、赋予用户相关账号文件最小权限
        #chmod 644 /etc/passwd
        #chmod 400 /etc/shadow
        #chmod 644 /etc/group

在这里插入图片描述

拉风的蜗牛
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
禁用Ctrl+Alt+Del组合键
06-03
禁用Ctrl+Alt+Del组合键 win+L键
linux 禁用 ctrl+alt+del 重启系统
whatday的专栏
05-08 2554
经常看到很多客户正式的环境还没有禁用CTRL-ALT-DEL重启系统,这个快捷键非常危险,尤其是正式环境,稍不留神按了这3个键,等着吧! 建议大家养成好的习惯,装完系统后把基础配置做好,比如禁用这个重启,安装基础的工具unzip、wget、curl等! 1.CentOS5.x vi /etc/inittab 找到下面行并注释掉: ca:12345:ctrlaltdel:/sbin/s...
linux禁用CTRL+ALT+DEL快捷键,避免系统重启,避坑
qq_39759398的博客
12-11 6554
Linux运维入门到精通linux日常运维操作小技巧 linux日常运维操作小技巧 现云平台分为两类Linux。一类普通Linux系统,一类Oracle Linux 普通Linux分为Ubuntu,centos6,centos7,Redhat6,Redhat7,(以下操作只针对没有GUI的Linux系统) 1.普通Linux查看系统版本(centos6,centos7,Redhat6,Redhat7) [root@node01 ~]# cat /etc/redhat-release CentOS Linux
linux关闭电脑热键,CentOS关闭Ctrl+Alt+Del重启快捷键的方法
weixin_36136552的博客
05-13 1571
Linux系统中,使用Ctrl+Alt+Del快捷组合能够对系统进行快速重启,但如果不需要这个功能的话,也可将其关闭,下面小编就给大家介绍下CentOS关闭Ctrl+Alt+Del重启快捷组合的方法。测试环境:CentOS5.XCentos6.X一、CentOS5.X 禁止同时按下Ctrl+Alt+Del重启编辑/etc/inittab找到ca:12345:ctrlaltdel:/sbin/sh...
系统引导和登陆控制
看清所以看轻
08-29 230
在互联网环境中,大部分服务器是通过远程登录的方式来进行管理的,而本地引导和终端登录过程往往容易被忽视,从而留下安全隐患。特别是当服务器所在的机房环境缺乏严格、安全的管控制度时,如何防止其他用户的非授权介入就成为必须重视的问题。 1.2.1 开关机安全控制 对于服务器主机,其物理环境的安全防护是非常重要的,不仅要保持机箱完好、机柜锁闭,还要严格控制机房的人员进出、硬件设备的现场接触等过程。在开关机安...
linux 快捷键alt 禁用,禁用Linuxctrl+alt+del操作系统参数
weixin_33320626的博客
05-14 616
一、情况说明检查系统配置文件发现“Control-Alt-Delete”重启组合键没有被禁用,为避免误操作而导致计算机重启,建议在配置文件中禁用组合键。二、参考解决方法#cat/etc/inittab|grepca|grep-v'#'(查看配置文件信息)ca::ctrlaltdel:/sbin/shutdown-r-t4now#vim/etc/inittab...
Linux禁用CTRL+ALT+DEL重启系统
Chengz77_的博客
04-07 1456
linux系统禁用ctrl+alt+del”重启
Linux 命令(224)—— ctrlaltdel 命令
Dablelv 的博客专栏。
12-19 1095
ctrlaltdel 设置 Ctrl-Alt-Del 组合键的功能。
ssh服务器banner信息,几种情况下的banner信息修改
weixin_30999669的博客
08-13 4773
一.telnet当telnet建立连接時,修改主机会出现的提示信息1.先编辑一個要显示的信息# vi /etc/telnet.msgthis is a telnet message!2.在/etc/inetd.conf中的telentd后加上-b选项,指定包含信息的文件telnetd stream tcp nowait root /usr/lbin/telnetd telnetd -b/etc/t...
Linux 系统使用 SSH 登录之前显示横幅消息
sankgao 的博客
01-10 511
Linux 系统使用 SSH 登录之前显示横幅消息
Linux主机评估检查
09-02
Linux主机评估检查Linux主机评估检查
linux-bench:检查Linux服务器是否根据CIS发行独立Linux基准中定义的最佳安全最佳实践
05-05
Linux-bench是一个Go应用程序,可通过运行CIS Distribution Independent Linux Benchmark中记录的检查检查Linux操作系统是否已安全配置。 测试是使用YAML文件配置的,因此随着测试规范的发展,该工具易于更新。 ...
Debian-GNU-Linux-Profiles:基于Debian GNULinux的服务配置文件
05-24
Debian-GNU-Linux-配置文件 完毕 域名解析 哈 哈边质量检查 硬化靴 在密钥管理服务器上进行安全启动的准备在支持的计算机上设置不受限制的安全启动 入侵检测系统 将Bro部署为IDS IPSEC 通过Strongswan构建IPSEC ...
linux安全配置规范.doc
04-09
适用于使用Linux操作系统的设备。本规范明确了安全配置的基本要求,可作为设备入网测试、安全验收、安全检查规范等文档的参考。
mykubernetes#linux-install#17prometheus监控ceph1
07-25
1、ceph集群启动prometheus模块 2、prometheus安装 3、添加主机发现配置 4、添加ceph主机 5、运行 6、检查prometheus服
CentOS6.7禁用CtrlAltDel快捷键
黑司机墨寒
06-20 1159
vim /etc/init/control-alt-delete.conf //编辑配置文件注释掉图中这一段  ctrl alt del 三个组和键重启就失效了!
windows 2003 Server 如何禁用启动时 ctrl+alt+delete/关机时原因查询?
阿布个人学习自留地
09-14 1409
运行gpedit.msc,在“计算机配置”/“Windows设置”/“安全设置”/“本地策略”/“安全选项”右面窗口中双击交互式登录:不需要按CTRLALTDEL,改为已启用,并应用,然后在“计算机配置”/“管理模板”/“系统”中双击显示关机事件跟踪,改为已禁用。    
[CentOS8]专治系统各种疑难配置
紫冰核心
06-10 193
CentOS8一.资源获取1.下载配置二.系统配置网络类1.网卡配置 一.资源获取 1.下载配置 系统名称 详细版本 文件大小 Centos8.3 CentOS-8.3.2011-x86_64-dvd1 8.62 GB 下载路径:https://www.centos.org/download/ 推荐下163.com与aliyun.com的链接下载Centos的镜像 二.系统配置 网络类 1.网卡配置 #vi /etc/sysconfig/network-scripts/ifcf
Centos关闭Ctrl+Alt+Del快捷键防止重新启动
不忘初心、方得始终
10-12 6380
Centos操作系统只要按下Ctrl+Alt+Del快捷键,系统就会自动重新启动。如果数据正在写入,无意间按下Ctrl+Alt+Del快捷键,不会有任何提示和确认,系统就会直接重新启动,这样会造成服务器的突然宕机,造成很多麻烦,所以最好关闭此快捷键,以防误操作造成重新启动。 Centos 5.x关闭方式 关闭Ctrl+Alt+Del快捷键,需要编辑/etc/inittab文件,将对应的内容注释
zabbix监控linux主机操作手册
最新发布
06-03
以下是 Zabbix 监控 Linux 主机的操作手册: 1. 安装 Zabbix Agent:在 Linux 主机上安装 Zabbix Agent,可以使用以下命令: ``` sudo apt-get update sudo apt-get install zabbix-agent ``` 2. 配置 Zabbix Agent:Zabbix Agent 的配置文件位于 /etc/zabbix/zabbix_agentd.conf。打开该文件并进行以下配置: - 将 Server 和 ServerActive 配置为 Zabbix Server 的 IP 地址。 - 将 Hostname 配置为该 Linux 主机主机名。 - 配置其他选项,如 Timeout、LogFileSize 等。 保存文件并重启 Zabbix Agent。 3. 创建主机:在 Zabbix Server 上创建一个主机,使用以下步骤: - 登录到 Zabbix Web 界面。 - 转到 Configuration -> Hosts。 - 单击 Create Host。 - 在 Hostname 字段中输入该 Linux 主机主机名。 - 选择 Group、Agent Interface 和 Templates。 - 单击 Add。 4. 检查监控项:在 Zabbix Server 上检查监控项,使用以下步骤: - 转到 Configuration -> Hosts。 - 单击所需主机的名称。 - 转到 Items 选项卡。 - 检查监控项,如 CPU 使用率、内存使用率、磁盘空间等。 5. 检查触发器:在 Zabbix Server 上检查触发器,使用以下步骤: - 转到 Configuration -> Hosts。 - 单击所需主机的名称。 - 转到 Triggers 选项卡。 - 检查触发器,如 CPU 使用率超过阈值、磁盘空间不足等。 6. 检查图形:在 Zabbix Server 上检查图形,使用以下步骤: - 转到 Monitoring -> Graphs。 - 选择所需主机和监控项。 - 单击 Add。 以上就是 Zabbix 监控 Linux 主机的操作手册,希望对你有所帮助。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值