1.删除不需要的用户(某些用户只进行调用的话,就关闭它的登录功能) usermod -s /sbin/nologin nagios
2.关闭不需要的服务 acpid apmd kudzu 这三个不要关
3,用公钥尽量不使用口令 ssh-keygen -i-f Identify.pub >> /root/.ssh/authorized_key2
4,合理配置sudo user ALL = NOPASSWD: /bin/ls /root
5.删减欢迎信息 /etc/issue /etc/issue.net /etc/redhat-release /etc/mtd公告信息
6,ssh配置 permitrootlogin no不允许root strict mod yes maxauthries 3
7,tcp_wrappers防火墙 service:hosts except 192.168.1.1排除
8,文件系统安全 chattr +a/+i file isattr -a所有 -d目录 -R递归
查找无主文件并修改,find / -nouser -o -nogroup
临时目录文件不允许有suid 不能执行脚本
/dev/shm共享内存设备,可以通过它直接操控系统内存
mount -o loop,noexec,nosuid,rw /dev/tmpfs /tmp
9,保持软件更新 yun check-update yum list updates
10,chkrootkit 需要保存原始命令 rkhunter -c检查 --cronjob
pidof sshd ls -al /proc/xxx/exe找路径 查句柄 /proc/xxx/fd
根据端口找进程 fuser -n tcp 111 rpm -Va 出现M可能被篡改
11.端口检查看是否有网络连接,没有就是rootkit,
MD5sum校验
断网查看登陆日志
ps找可以进程,寻找攻击源
分析原因修复
给日志添加时间:
HISTFILESIZE=4000
HISTSIZE=4000
HISTTIMEFORMAT='%F %T'
export HISTTIMEFORMAT