linux服务器安全加固批量,一种Linux服务器自动化安全加固方法与流程

本发明涉及Linux服务器安全技术领域，更具体地，涉及一种Linux服务器自动化安全加固方法。

背景技术：

目前服务器系统管理员需要花费大量时间进行Linux 服务器操作系统的配置操作，及修改大量的配置文件，这些人工操作通常枯燥重复，不仅占用服务器系统管理员大量时间精力，由于工作量大，难以保证人工配置的正确性、完整性及是否可还原等问题。完善的管理需要制定一个目标方案，并保证工作高效和实施到位。简单的说，就是一个由shell一步一步执行的程序。

shell 是在 Linux 内核和最终用户之间提供接口的另一个程序。默认情况下，linux用户使用的 shell 是 bash(/bin/bash)。在传统的linux管理配置操作中，一般用对应的shell命令来查询，并根据不同的输出结果，使用vi等编辑器来修改配置文件，并保存退出的方式来操作的。

随着企业业务发展，部署及修改量越来越大，在修改工作量暴增时，管理员的处理能力成为瓶颈，常常出现工作项目的延时，造成服务器安全隐患，导致系统故障，甚至信息的丢失，这些问题引起的故障，中断，效率、安全、成本问题，不单会影响整个工作的开展，可能还会引发客户投诉，工作延时，进而影响企业良好的品牌形象，甚至会给企业带来重大损失。

技术实现要素：

本发明为解决以上现有技术中通过手工修改linux配置文件对系统进行安全加固的方法，存在修改不及时，影响系统安全性能的技术缺陷，提供了一种Linux服务器自动化安全加固方法。

为实现以上发明目的，采用的技术方案是：

一种Linux服务器自动化安全加固方法，包括以下步骤：

S1：Linux系统运行系统加固管理脚本，以当前时间备份原配置文件；

S2：读取原配置文件设定值，选取对应功能的配置脚本；

S3：导入配置脚本设定值参数，替换原配置文件设定值，生成新的配置文件；

S4：将新的配置文件分类写入日志文件中，完成服务器自动化安全加固。

其中，步骤S1所述配置文件包括：安全审计配置文件、访问权限配置文件和身份鉴别配置文件。

其中，步骤S3所述的配置脚本有多个，每个脚本配置有实现不同功能的配置参数。

其中，步骤S4所述的日志文件包括身份鉴别日志文件、访问控制日志文件和安全审计日志文件。

其中，所述安全审计配置文件包括审计配置功能和审计日志保存功能。

其中，所述访问权限配置文件包括修改关键文件权限功能、资源控制功能、禁止root远程登录功能、禁用指定服务功能、访问控制功能、TCPWrapper限制登陆功能和禁用指定的Xinetd功能。

其中，所述身份鉴别配置文件包括：口令复杂度设置功能、密码设定策略功能、登录失败处理功能和远程服务版本限制功能。

其中，所述配置脚本为bash脚本。

上述方案中，Linux服务器采用bash脚本控制，将linux6.0的操作系统软件分为多个独立可部署可扩展的脚本控制代码段，抛弃传统手工修改的方式，改为使用代码进行条件、判断、循环的操作方式，对每个配置文件备份、修改、导入使人工依赖程度大大降低。

上述方案中，利用脚本就能批量准确地部署加固修改，整个部署框架高效、稳定、可靠，操作简单、快速、自动化，突破人工操作过程中出现瓶颈，避免了修改工作量暴增时，管理人员操作不及时给系统带来的风险。

上述方案中，该加固方法在Linux服务器上用程序控制，该程序自动检测系统中的薄弱环节，通过检查账号安全；停止承载业务无关服务；控制数据访问；控制网络访问；鉴别用户；配置审计策略进行审计一系列自动操作，完成对Linux系统安全加固自动进行的工作。把需手动执行的所有过程变为自动化执行，节省了时间，实现快速为Linux系统安全加固的方法，提高效率，增强系统安全性。

与现有技术相比，本发明的有益效果是：

本发明提供的一种Linux服务器自动化安全加固方法，Linux服务器采用bash脚本控制，将linux6.0的操作系统软件分为多个独立可部署可扩展的脚本控制代码段，突破人工操作过程中出现瓶颈，避免了修改工作量暴增时，管理人员操作不及时给系统带来的风险。

附图说明

图1为一种Linux服务器自动化安全加固方法流程图。

图2为一种Linux服务器自动化安全加固方法文件变化示意图。

具体实施方式

附图仅用于示例性说明，不能理解为对本专利的限制；

以下结合附图和实施例对本发明做进一步的阐述。

实施例1

如图1所示，一种Linux服务器自动化安全加固方法，包括以下步骤：

S1：Linux系统运行系统加固管理脚本，以当前时间备份原配置文件；

S2：读取原配置文件设定值，选取对应功能的配置脚本；

S3：导入配置脚本设定值参数，替换原配置文件设定值，生成新的配置文件；

S4：将新的配置文件分类写入日志文件中，完成服务器自动化安全加固。

更具体的，步骤S1所述配置文件包括：安全审计配置文件、访问权限配置文件和身份鉴别配置文件。

更具体的，步骤S3所述的配置脚本有多个，每个脚本配置有实现不同功能的配置参数。

更具体的，步骤S4所述的日志文件包括身份鉴别日志文件、访问控制日志文件和安全审计日志文件。

更具体的，所述安全审计配置文件包括审计配置功能和审计日志保存功能。

更具体的，所述访问权限配置文件包括修改关键文件权限功能、资源控制功能、禁止root远程登录功能、禁用指定服务功能、访问控制功能、TCPWrapper限制登陆功能和禁用指定的Xinetd功能。

更具体的，所述身份鉴别配置文件包括：口令复杂度设置功能、密码设定策略功能、登录失败处理功能和远程服务版本限制功能。

更具体的，所述配置脚本为bash脚本。

在具体实施过程中，Linux服务器采用bash脚本控制，将linux6.0的操作系统软件分为多个独立可部署可扩展的脚本控制代码段，抛弃传统手工修改的方式，改为使用代码进行条件、判断、循环的操作方式，对每个配置文件备份、修改、导入使人工依赖程度大大降低。

在具体实施过程中，利用脚本就能批量准确地部署加固修改，整个部署框架高效、稳定、可靠，操作简单、快速、自动化，突破人工操作过程中出现瓶颈，避免了修改工作量暴增时，管理人员操作不及时给系统带来的风险。

在具体实施过程中，该加固方法在Linux服务器上用程序控制，该程序自动检测系统中的薄弱环节，通过检查账号安全；停止承载业务无关服务；控制数据访问；控制网络访问；鉴别用户；配置审计策略进行审计一系列自动操作，完成对Linux系统安全加固自动进行的工作。把需手动执行的所有过程变为自动化执行，节省了时间，实现快速为Linux系统安全加固的方法，提高效率，增强系统安全性。

显然，本发明的上述实施例仅仅是为清楚地说明本发明所作的举例，而并非是对本发明的实施方式的限定。对于所属领域的普通技术人员来说，在上述说明的基础上还可以做出其它不同形式的变化或变动。这里无需也无法对所有的实施方式予以穷举。凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等，均应包含在本发明权利要求的保护范围之内。