linux系统 安全更新失败,Linux系统安全设置

1.禁止系统响应从外部/内部来的ping请求

在终端下输入sysctl -w net.ipv4.icmp_echo_ignore_all=1  若要开Ping 把1改成0就行了

默认情况下icmp_echo_ignore_all的值为“0”,表示响应ping值

可以添加到/etc/rc.d/rc.local文件中,以使每次系统启动后自动运行

2.删除系统默认的不必要的用户和组

删除的用户,如adm、lp、sync、shutdown、halt、news、uucp、operator、games、gopher等

删除的组:如adm、lp、news、uucp、games、dip、pppusers、popusers、slipusers等

3.修改ssh端口

编辑/etc/ssh/sshd_config 把#Port 22前注释去掉,加上Port 888 重启ssh服务,使用888端口ssh

成功后,把Port 22删除

4.取消root登录

编辑/etc/ssh/sshd_config,把PermitRootLogin yes前面注释去掉,并修改成no,然后重启sshd服

务,并且创建一个用户用来ssh切换到root用户。

5.设置特定组可以su到root

编辑 /etc/pam.d/su文件,找到这行auth            required        pam_wheel.so use_uid 把

前面的注释去掉,同时把授权的用户添加到wheel组就行了 usermod -a -G wheel username。

6.启用iptables防火墙

根据具体要求来具体设置,基本对一些端口进行开启和关闭。

7.只允许对root对/etc/init.d/下服务进行操作

chmod 700 -R /etc/init.d/

8.限制shell历史记录命令大小

编辑/etc/profile文件,把默认的HISTSIZE=1000改为HISTSIZE=50

9.使用yum update更新系统时不升级内核,只更新软件包

编辑yum的配置文件/etc/yum.conf 在[main]的最后添加exclude=kernel*

10.Selinux修改

修改/etc/selinux/config 修改成SELINUX=disabled

11.转发重要或者错误日志到自己邮箱

编辑/etc/aliases 在mailer-daemon:postmaster postmaster: root下面加入root:你的邮箱

12.不允许从不同的控制台进行root登陆

编辑/etc/securetty,把禁止登录的tty设备前加#号进行注释。

13.设置允许ssh远程的IP

在iptables加规则 iptables -A INPUT -i eth0 -p tcp 22 -s 网段/ip  -j ACCEPT。

14.强制使用复杂密码

先通过rpm -qa | grep cracklib 查询一下cracklib是否安装,然后编辑/etc/pam.d/system-

auth,将password    requisite     pam_cracklib.so try_first_pass retry=3 修改成

password    requisite     pam_cracklib.so try_first_pass retry=3 minlen=8 difok=5

15.设置自动注销帐号的登录

编辑/etc/profile文件,在HISTSIZE后面加入TMOUT=300这行,表示登录用户在300s内没有操作,

系统就自动注销这个账户

16.阻止任何人su到root

编辑/etc/pam.d/su,添加以下两行

auth sufficient /lib/security/$ISA/pam_rootok.so debug

auth required /lib/security/$ISA/pam_wheel.so group=wheel意味着只有wheel组内的用户才可

以su到root

  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值