本文详细介绍了Linux系统安全加固的三个主要方面:保护引导过程、关闭不必要的服务、增强文件权限,以及用户安全改进措施(如SSH登录安全和用户管理),还包括网络安全措施如禁用IPV6、防止网络攻击和定期日志检查。
加固项一:
基本系统安全
1:保护引导过程;在/etc/inittab中添加sp:S:respawn:/sbin/sulogin,以确保当切换到单用户模式时运行级的配置要求输入root密码
2:关闭不使用的服务
2.1:查看哪些服务是开启的,输入命令“chkconfig --list | grep ‘3:on’”。
2.2:关闭邮件服务,使用公司邮件服务器
2.3:关闭nfs服务及客户端
3:增强特殊文件权限
建议给下面的文件加上不可更改属性,从而防止非授权用户获得权限
加固项二:
用户安全
1:禁用不使用的用户;一般不直接删除,直接在passwd文件中编辑用户,在前面加上#注释掉该用户行即可
1.1:显示已经注释的用户名,输入命令“cat /etc/passwd | grep ^#”
2:ssh登陆安全
2.1:修改ssh默认端口22,改成如20002这样的较大端口会大幅提高安全系数,降低ssh破解登录的可能性。修改“/etc/ssh/sshd_config”这个配置文件。
2.2:只允许某用户组的用户su切换(这里设置只允许wheel用户)
2.3:登陆超时设置;在“/etc/profile”中添加
2.4:禁止root直接远程登陆;编辑“/etc/ssh/sshd_config”文件
2.5:限制登录失败次数并锁定;在“/etc/pam.d/login”文件后添加
###注:这里设置的是失败5次锁定180秒
2.5:减少history命令记录;编辑“/etc/profile”文件;找到HISTSIZE=1000改为HISTSIZE=50;然后执行source /etc/profile生效
###注:也可以每次退出时清理history命令,输入“history -c”
加固项三:
网络安全
1:禁用IPV6;在用不到IPV6时,将其禁用会加快网络。
1.1:让系统不加载ipv6相关模块,这需要修改modprobe相关设定文件,为了管理方便,我们新建设定文件/etc/modprobe.d/ipv6off.conf,内容如下:
1.2:禁用基于IPv6网络,使之不会被触发启动:
1.3:禁用网卡IPv6设置,使之仅在IPv4模式下运行:
1.4:关闭ip6tables:
1.5:重启系统,验证是否生效;如果没有任何输入说明禁用成功,否则失败
2:防止一般网络攻击
2.1:禁ping
方式一:在/etc/rc.d/rc.local文件中增加一行内容“echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_all”
方式二:使用iptable禁ping,当然前提是你启用了iptables防火墙。
2.2:防止IP欺骗,编辑“/etc/host.conf”文件并增加如下几行来防止IP欺骗攻击:
2.3:防止Dos攻击;对系统所有的用户设置资源限制可以防止Dos类型攻击,如最大进程数和内存使用数量等,可以在“/etc/security/limits.conf”中添加如下几行
接着必须看看“/etc/pam.d/login”文件下面一行是否存在
3:定期做日志检查;将日志移动到专用的日志服务器里,这可避免入侵者轻易的改动本地日志。下面是常见linux的默认日志文件及其用处。
【完】
【注:文档内容为日常学习所记录笔记,部分知识点和内容来源于网络,有侵权联系删除!】
1818
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
