【Linux学习笔记】之【安全加固】

最新推荐文章于 2023-04-04 09:07:32 发布
最新推荐文章于 2023-04-04 09:07:32 发布
阅读量370 收藏 1
点赞数
分类专栏: Linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_44874645/article/details/118857965
版权

linux系统安全加固

账号加固

密码长度与有效期

默认配置:

cat /etc/login.defs |grep PASS_ |grep -v '#'
#------------------
PASS_MAX_DAYS 99999
# 密码有效期
PASS_MIN_DAYS 0
# 修改密码的最短期限
PASS_MIN_LEN 5
# 密码最短长度
PASS_WARN_AGE 7
# 密码过期提醒
#------------------

加固方案:

cp -a /etc/login.defs /etc/login.defs.default
vim /etc/login.defs
#---------------
PASS_MAX_DAYS 90
PASS_MIN_DAYS 6
PASS_MIN_LEN 8
PASS_WARN_AGE 30
#---------------

密码复杂度

默认配置

cat /etc/pam.d/system-auth | grep "pam_pwquality.so try_first_pass local_users_only retry=3 authtok_type="

#-------------------
password requisite pam_pwquality.so try_first_pass local_users_only retry=3 authtok_type=
#--------------------

加固方案:

cp -a /etc/pam.d/system-auth /etc/pam.d/system-auth.default

vim /etc/pam.d/system-auth
#----------------------------
password requisite pam_cracklib.so try_first_pass minlen=8 difok=5 dcredit=-1 lcredit=-1 ocredit=-1 retry=3 remember=3
#----------------------------
参数说明
try_first_pass而当pam_unix验证模块与password验证类型一起使用时,该选项主要用来防止用户新设定的密码与以前的旧密码相同。
minlen=8最小长度8位
difok=6配置密码时,新密码中至少6个字符与旧密码不同(默认为5)
dcredit=-1最少1个数字
lcredit=-1最少1个小写字符,(ucredit=-1:最少1个大写字符)
ocredit=-1最少1个特殊字符
retry=3配置密码时,提示3次用户密码错误输入
pe=xxx此选项用来修改缺省的密码提示文本
remember=N保存每个用户使用过的N个密码,强制密码不能跟历史密码重复

会话超时

cp -a /etc/profile /etc/profile.default
vim /etc/profile

# 末行追加:
#-----------
port TMOUT=300
#-----------
# 五分钟无操作中断登录会话

禁用删除系统多余用户

Openssh安全配置

配置文件安全加固

vim /etc/ssh/sshd_config

#----------------
PermitRootLogin no
# 禁止root登录

MaxAuthTries 3
# 超过3次socket连接会断开

PubkeyAuthentication no
AuthorizedKeysFile /dev/null
# 禁止证书登录

PasswordAuthentication no
# 使用证书替代密码认证

ChallengeResponseAuthentication yes	
# 禁止SSH客户端记住密码

GSSAPIAuthentication no
# GSSAPIAuthentication yes
# GSSAPICleanupCredentials yes
# GSSAPICleanupCredentials yes
# GSSAPIStrictAcceptorCheck yes
# GSSAPIKeyExchange no
# 关闭 GSSAP

AllowTcpForwarding no
# 禁止SSH端口映射
#----------------

IP地址限制

白名单策略:

vim /etc/hosts.allow
#----------------
sshd:192.168.10.1,192.168.10.2,192.168.10.3
#----------------
vim /etc/hosts.deny
#----------------
sshd:ALL
#----------------

系统服务安全管理

  1. 采用最少服务原则,凡是不需要的服务一律注释掉。
  • /etc/inetd.conf 中不需要的服务前加 “#”,较高版本中已经没有 inetd 而换成了 Xinetd;取消开机自动运行服务,把 /etc/rc.d/rc3.d 下不需要运行的服务第一个字母大写改称小写,或者由 setup 命令启动的 GUI 界面中的 service 更改。
  1. 可以使用 /etc/host.allow/etc/host.deny 这两个文件,将不需要的服务禁止。
  2. 通过防火墙策略禁止访问不需要的服务

文件系统权限

.history 文件

vim /etc/profile
# 在文件末尾添加如下内容:
#----------------
HISTSIZE=1000
# 设置保存历史命令的文件大小
HISTFILESIZE=2000
# 保存历史命令条数
export HISTTIMEFORMAT="%Y-%m-%d-%H:%M:%S:$USER:"
# 设置历史命令格式
#----------------

SUID权限管理

找出系统所有含 “s” 位的程序,把不必要得 “s” 位去掉,或者把根本不用的直接删除:

find / -type f -perm -u+s -exec ls -l {} \;
chmod a-s filename

防止用户滥用及提升权限的可能性

把重要文件加上不可改变属性,具体视需要而定:

chattr +i /etc/passwd
chattr +i /etc/shadow
chattr +i /etc/gshadow
chattr +i /etc/group
chattr +i /etc/inetd.conf
chattr +i /etc/httpd.conf

防火墙配置

防火墙策略

默认INPUT,FORWARD,OUTPUT 三个都是ACCEPT

INPUT ACCEPT   FORWARD ACCEPT   OUTPUT ACCEPT

从安全的角度出发,INPUT,FORWARD,OUTPUT 三个都是DROP最安全,但配置的时候会给你带来非常多的不可预料的麻烦。

INPUT DROP  FORWARD DROP  OUTPUT DROP

折中的方案,也是大多数硬件防火墙厂商所采用的方案,他们都是采用INPUT默认禁用所有,OUTPUT默认允许所有,你只要关注INPUT规则即可。

INPUT DROP  FORWARD ACCEPT  OUTPUT ACCEPT

防止成为跳板机

封锁22等端口,避免相互跳转:

iptables -A OUTPUT -p tcp -m multiport --dports 22,21,873 -j REJECT/etc/init.d/iptables save
iptables -L -n

web 服务器禁止使用ssh,作为跳板机,用户将不能使用ssh命令登陆到其他电脑。

AA8j
关注
专栏目录
如何快速对Linux远程登录SSH服务进行安全加固
WeiyiGeek 唯一极客IT知识分享
03-10 743
SSH( Secure Shell ,安全外壳协议 )命令是openssh套件中的客户端连接工具,采用了非对称加密算法aymmetric encryption algorithm实现安全的远程登录服务器;
Linux操作系统加固
悦分享
07-23 1489
如何尽可能地加强Linux的安全性和隐私性?以下列出的所有命令都将需要root特权。以“$”符号开头的单词表示一个变量,不同终端之间可能会有所不同。
安全学习安全加固centos/apache卡第十一天
蟋蟀15型
07-29 122
本文为苏尚武老师运维安全课程课程笔记 centos7 提高攻击成本 针对:初学者,没有目的的 目的:会员、敏感 yum安装expect通过mkpasswd -l 数字 生成密码 密码保存:1password、 ...
对CentOS7进行账户和登录方面的安全加固
curry30的博客
09-22 2081
用户账户安全加固、用户登录安全设置
Redis服务安全加固的说明
永远在学习Linux之路上
02-13 259
Redis(全称:Remote Dictionary Server 远程字典服务)是一个开源的使用ANSI C语言编写、支持网络、可基于内存亦可持久化的日志型、Key-Value数据库,并提供多种语言的API。 漏洞描述 Redis 因配置不当存在未授权访问漏洞,可以被攻击者恶意利用。 在特定条件下,如果 Redis 以 root 身份运行,黑客可以给 root 账号写入 SSH 公钥文件...
Linux系统安全及应用加固———最适合新手学,新手都能看懂!超详细的理论+超详细的实验!呕心沥血之作完成!
CSDN著名博主
07-22 1万+
系统安全应用一、账号安全控制1.1、账号安全基本措施1.1.1、系统帐号清理1.1.2、密码安全控制1.1.3、命令历史限制1.1.4、终端自动注销二、系统引导和登录控制2.1、使用su命令切换用户2.1.1、用途和用法2.1.2、限制使用su命令的用户三、Liunx中的PAM安全认证3.1、su命令的安全隐患3.2、PAM认证原理3.3、PAM认证的构成3.4、PAM安全认证流程四 、使用sudo机制提升权限4.1、su命令的缺点4.2、sudo命令的用途及用法4.3、配置sudo授权4.4、查看sudo
Linux学习笔记(基础篇含Discuz论坛的部署)
09-07
本篇Linux学习笔记基于CentOS 6.5版本,记录了一系列基础操作命令,并涵盖了Discuz论坛的部署。下面,我们将详细解读这份笔记中提到的关键知识点。 ### Linux基础命令 1. **查看网卡、DNS和版本信息** 使用`cat`...
网络安全学习的全栈笔记
最新发布
08-13
包含对下面的网络安全相关的所有的学习笔记,有如下所有的笔记信息:App渗透,Web安全基础,Windows&Linux权限提升,安全加固,内网渗透&横向移动,权限维持,渗透测试思路,渗透工具介绍与使用,应急响应,中间件漏洞
linux运维学习笔记:MySQL运维基础面试问答题42题.pdf
08-18
综上所述,这份学习笔记详细地覆盖了MySQL运维的各个方面,从基础概念、数据类型、数据库操作、安全加固、实例管理、日志管理等多个维度,为学习者提供了全面的参考资料。对于想要深入学习MySQL的运维人员来说,这份...
linux等保三级检查命令
UMSA
12-02 4583
一、身份鉴别 a)应对登录的用户进行身份标识和鉴别,身份标识具有唯一性,身份鉴别信息具有复 杂度要求并定期更换; 1、应核查用户在登陆时是否采用了身份鉴别措施; 用户登录服务器需要使用账户+账户口令。 2、应核查用户列表确认用户身份标识是否具有唯一性; (more /etc/passwd) //查看命令结果,第三字段不存在相同数字、用户名不存在相同名称。 3、应核查用户配置信息或测试验证是否不存在空口令用户; (more /etc/shadow) //查看命令结果,红框内的乱码表示加密以
linux fork: retry: 资源暂时不可用
myjcwy的专栏
09-27 2089
centos6.5使用su切换用户时,出现:fork: retry: 资源暂时不可用,java程序没法正常启动。       网上查到的解决方式:     cd /etc/security/limits.d有个文件vi 90-nproc.conf      # Default limit for number of user's processes to prevent      # ...
Linux下密码过期时间设置 (chage 的设置)
热门推荐
shenghuiping2001的专栏
08-02 3万+
Linux下对于新添加的用户,用户密码过期时间是从/etc/login.defs中PASS_MAX_DAYS提取的,普通系统默认就是99999,而有些安全操作系统是90。更改此处,只是让新建的用户默认密码过期时间变化,已有用户密码过期时间仍然不变。 [root@linuxidc
Linux系统安全学习笔记(2)
weixin_43103905的博客
03-02 650
资料来源:http://star.nsctf.cn/ 在此记录下部分操作系统的检查方法和加固方法,其中为防止误操作请务必使用cp指令备份原有配置(养成良好习惯) 1.重要目录和文件权限 检查方法 ls -l#查看目录及权限 加固方法 对于重要目录,权限设置为750 举例: chmod -R 750 /etc/rc.d/init.d/ #这样只有root可以读写和执行这个目录下的脚本,grou...
等保测评(linux
m0_52527037的博客
04-04 5921
应采用校验技术或密码技术保证重要数据在存储过程中的完整性,包括但不限于鉴 别数据、重要业务数据、重要审计数据、重要配置数据、重要视频数据和重要个人信息等。在传输过程中对鉴别数据、重要业务数据、重要审计数据、重要配置数据、重要视频数据和重要个人信息等进行篡改,能够检测到数据在传输过程中的完整性受到破坏并能够及时恢复。)应采用校验技术或密码技术保证重要数据在传输过程中的完整性,包括但不限于鉴 别数据、重要业务数据、重要审计数据、重要配置数据、重要视频数据和重要个人信息等;网络设备、防火墙配置访问控制策略;
linux系统出现bash:fork:retry resource temporarily unavailable的报错
砚墨
05-30 3717
问题场景:linux系统出现bash: fork: retry resource temporarily unavailable 的报错 问题原因 用户能够使用的进程数太少和文件描述符太小导致的,每一个文件描述符会和一个文件对应,但是很多文件描述符也会和一个文件对应。相同的文件可以被不同的进程打开,也可以被同一个进程打开多次。 解决方案 一,系统层面的文件描述符 涉及到系统层面的,基本上都是通过修改内核参数来实现的,修改系统中的文件描述符可以通过下面两种方式来实现: 1,/proc/sys/fs/file-
retry重试常见场景及实现
xuyi19921216的博客
10-20 2668
retry重试常见场景及实现   当我们的代码是有访问网络相关的操作时,比如http请求或者访问远程数据库,经常可能会发生一些错误,有些错误可能重新去发送请求就会成功,本文分析常见可能需要重试的场景,并最后给出python代码实现。   常见异常分成两种,一种是请求传输过程出错,另一种是服务端负载过高导致错误。  对于第一种错误,可能请求还未到服务端处理程序就已经返回。  ...
RedHat 7 安全策略配置
yadedoo的专栏
03-23 2581
这里写自定义目录标题欢迎使用Markdown编辑器新的改变功能快捷键合理的创建标题,有助于目录的生成如何改变文本的样式插入链接与图片如何插入一段漂亮的代码片生成一个适合你的列表创建一个表格设定内容居中、居左、居右SmartyPants创建一个自定义列表如何创建一个注脚注释也是必不可少的KaTeX数学公式新的甘特图功能,丰富你的文章UML 图表FLowchart流程图导出与导入导出导入 欢迎使用Markdown编辑器 你好! 这是你第一次使用 Markdown编辑器 所展示的欢迎页。如果你想学习如何使用Mar
【肥海豹】-网络安全等级保护(等保)-LINUX类服务器配置
FAT_SEAL的博客
08-07 3804
本文为个人总结,欢迎交流指正,集思广益,发现错误或其他配置方案会进行更新。(三级系统要求,以CentOS系统为例,不同版本可能有配置区别) 身份鉴别 a)应对登录的用户进行身份标识和鉴别,身份标识具有唯一性,身份鉴别信息具有复杂度要求并定期更换; 1. 要求登录服务器的用户具有独立的身份标识(用户名),并需要采用身份鉴别措施(例如使用用户名+密码进行登录); 2. 要求服务器中不存在同名用户(服务器自身无法创建同名用户); 3. 要求从服务器策略上对密码复杂度进行限制,策略配置方法:...
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值