转载《小措施提高Linux服务器安全》

最新推荐文章于 2024-10-11 20:52:27 发布
最新推荐文章于 2024-10-11 20:52:27 发布
阅读量218 收藏
点赞数
分类专栏: linux服务器安全 文章标签: linux 服务器 安全
原文链接:https://www.cnblogs.com/suihui/p/4321885.html
版权

**

转载《小措施提高Linux服务器安全》

**

1. 禁止root远程登录

作为默认系统管理账号root是最容易攻击的目标。禁止通过ssh远程登录是绝对必须的。

方法:

编辑 /etc/ssh/sshd_config

PermitRootLogin no
同时,请为管理员建立个人账户,并分配到sudoers用户组(默认为%admin)

$ sudo adduser example_user
$ sudo usermod –a -G admin example_user

2. 修改SSHD默认端口

远程服务SSHD的默认端口22也是端口扫描的重点目标,修改为其他端口(通常为1024以上)可避免大部分攻击。 方法: 编辑 /etc/ssh/sshd_config

Port 8822 #default 22
vi /etc/sysconfig/iptables
-A INPUT -m state –state NEW -m tcp -p tcp –-dport 80 -j ACCEPT(允许80端口通过防火墙)
-A INPUT -m state –state NEW -m tcp -p tcp –-dport 3306 -j ACCEPT(允许3306端口通过防火墙)

3. 使用SCP代替FTP

FTP虽然方便,但是安全性一直被诟病。

后台文件管理时,用加密的SCP方式可以更好的解决这个问题。

SCP利用了SSHD的服务,所以不需要在服务器另外配置,直接调整账号权限即可。

Windows下可以使用软件winscp连接服务器。

官方网站: http://winscp.net

4. 安装denyhosts

Denyhost可以帮你自动分析安全日志,直接禁止可疑主机暴力破解。

Debian用户可以直接使用apt安装

$ sudo apt-get install denyhosts
官方网站: http://denyhosts.sourceforge.net/

5. 谨慎控制目录和文件权限,灵活使用用户组

例如,如果监控程序munin需要访问网站日志,请不要修改日志文件的权限设置,而是将munin加入www-data用户组

$ sudo usermod -a -G www-data munin
为系统程序使用专用账号

尽量为每个系统程序使用专用账号,避免使用root

如mysql, munin 等,灵活使用 sudo -u example_user 等命令切换执行用户和用户组

6. 防止IP欺骗

编辑/etc/host.conf文件并增加如下几行来防止IP欺骗攻击。

order bind,hosts
multi off
nospoof on

7. 注释掉操作系统不需要使用的用户和用户组

Centos 6.4操作系统安装好之后,我们需要针对一些不需要使用的用户和用户组来进行设置,减少可能发生的安全问题。

/etc/passwd原始内容如下:

[root@localhost ~]# vi /etc/passwd
root❌0:0:root:/root:/bin/bash
bin❌1:1:bin:/bin:/sbin/nologin
daemon❌2:2:daemon:/sbin:/sbin/nologin
adm❌3:4:adm:/var/adm:/sbin/nologin
lp❌4:7:lp:/var/spool/lpd:/sbin/nologin
sync❌5:0:sync:/sbin:/bin/sync
shutdown❌6:0:shutdown:/sbin:/sbin/shutdown
halt❌7:0:halt:/sbin:/sbin/halt
mail❌8:12:mail:/var/spool/mail:/sbin/nologin
uucp❌10:14:uucp:/var/spool/uucp:/sbin/nologin
operator❌11:0:operator:/root:/sbin/nologin
games❌12💯games:/usr/games:/sbin/nologin
gopher❌13:30:gopher:/var/gopher:/sbin/nologin
ftp❌14:50:FTP User:/var/ftp:/sbin/nologin
nobody❌99:99:Nobody:/:/sbin/nologin
dbus❌81:81:System message bus:/:/sbin/nologin
usbmuxd❌113:113:usbmuxd user:/:/sbin/nologin
vcsa❌69:69:virtual console memory owner:/dev:/sbin/nologin
rpc❌32:32:Rpcbind Daemon:/var/cache/rpcbind:/sbin/nologin
rtkit❌499:497:RealtimeKit:/proc:/sbin/nologin
avahi-autoipd❌170:170:Avahi IPv4LL Stack:/var/lib/avahi-autoipd:/sbin/nologin
pulse❌498:496:PulseAudio System Daemon:/var/run/pulse:/sbin/nologin
haldaemon❌68:68:HAL daemon:/:/sbin/nologin
ntp❌38:38::/etc/ntp:/sbin/nologin
apache❌48:48:Apache:/var/www:/sbin/nologin
saslauth❌497:76:“Saslauthd user”:/var/empty/saslauth:/sbin/nologin
postfix❌89:89::/var/spool/postfix:/sbin/nologin
abrt❌173:173::/etc/abrt:/sbin/nologin
rpcuser❌29:29:RPC Service User:/var/lib/nfs:/sbin/nologin
nfsnobody❌65534:65534:Anonymous NFS User:/var/lib/nfs:/sbin/nologin
gdm❌42:42::/var/lib/gdm:/sbin/nologin
sshd❌74:74:Privilege-separated SSH:/var/empty/sshd:/sbin/nologin
tcpdump❌72:72:😕:/sbin/nologin
ldap❌55:55:LDAP User:/var/lib/ldap:/sbin/nologin

复制代码
注释掉以下用户
#userdel adm❌3:4:adm:/var/adm:/sbin/nologin
#userdel lp❌4:7:lp:/var/spool/lpd:/sbin/nologin
#userdel sync❌5:0:sync:/sbin:/bin/sync
#userdel shutdown❌6:0:shutdown:/sbin:/sbin/shutdown
#userdel halt❌7:0:halt:/sbin:/sbin/halt
#userdel uucp❌10:14:uucp:/var/spool/uucp:/sbin/nologin
#userdel operator❌11:0:operator:/root:/sbin/nologin
#userdel games❌12💯games:/usr/games:/sbin/nologin
#userdel gopher❌13:30:gopher:/var/gopher:/sbin/nologin
#userdel ftp❌14:50:FTP User:/var/ftp:/sbin/nologin
复制代码
/etc/group原始内容如下:

[root@localhost ~]# vi /etc/group
root❌0:
bin❌1:bin,daemon
daemon❌2:bin,daemon
sys❌3:bin,adm
adm❌4:adm,daemon
tty❌5:
disk❌6:
lp❌7:daemon
mem❌8:
kmem❌9:
wheel❌10:
mail❌12:mail,postfix
uucp❌14:
man❌15:
games❌20:
gopher❌30:
video❌39:
dip❌40:
ftp❌50:
lock❌54:
audio❌63:
nobody❌99:
users❌100:
dbus❌81:
usbmuxd❌113:
utmp❌22:
utempter❌35:
desktop_admin_r❌499:
desktop_user_r❌498:
floppy❌19:
vcsa❌69:
rpc❌32:
rtkit❌497:
avahi-autoipd❌170:
cdrom❌11:
tape❌33:
dialout❌18:
wbpriv❌88:
pulse❌496:
pulse-access❌495:
fuse❌494:
haldaemon❌68:haldaemon
ntp❌38:
apache❌48:
saslauth❌76:
postdrop❌90:
postfix❌89:
abrt❌173:
rpcuser❌29:
nfsnobody❌65534:
gdm❌42:
stapusr❌156:
stapsys❌157:
stapdev❌158:
sshd❌74:
tcpdump❌72:
slocate❌21:
ldap❌55:

复制代码
注释掉以下用户组

#groupdel adm❌4:adm,daemon
#groupdel lp❌7:daemon
#groupdel uucp❌14:
#groupdel games❌20:
#groupdel dip❌40:
复制代码
服务器禁止ping

vi /etc/rc.d/rc.local #在文件末尾增加下面这一行
echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_all  
参数0表示允许 1表示禁止

源链接

叨叨叨和跃涵
关注
专栏目录
Linux日本云服务器安全设置的基本步骤
SonderCloud_的博客
12-03 4874
日本云服务器,兼具云服务器与日本网络和地理优势,是面向东亚、东南亚地区华人市场的业务托管新选择,尤其适合部署外贸电商网站、日服游戏或者全球邮件中转等服务。那么,Linux 日本云服务器开通后需要进行哪些安全设置,才能避免被非法入侵? 第 1 步:设置安全组规则 正规的日本云服务器都配备“安全组”功能,相当于一个由你控制的虚拟防火墙,您可以通过配置安全组规则来允许/禁止出/入流量。 很多新用户使用日本云服务器没有将安全组利用起来。使用后可能发现登录日本云服务器后,有类似提示: There were
措施增强Linux服务器安全
2byte
08-15 114
  转载请注明:来自《2字节》关注中文互联网和企业软件 黑客很多时候是个体力活。 挂着扫描器,漫无目的的寻找不设防的主机,植入后门,控制,卖给需要的人。 所以,一些基本的安全措施可以避免太过容易成为目标,下面就小小的介绍一些。 禁止root远程登录 作为默认系统管理账号root是最容易攻击的目标。禁止通过ssh远程登录是绝对必须的。 方法: 编辑 /etc/ssh/sshd_con...
Linux服务器被攻击方式及防御措施
xiaoyiandun的博客
11-22 515
4.接下来把可疑进程杀掉: -------------------小蚁君发现的可疑进程有3个:pphp6,netns,profs 查出的路径在部署的nagios目录里面,所以断定是外来文件。而对PC的网关欺骗则是通过伪造网关,欺骗PC向假的网关发送数据。很多人一般会先切断网络------然后进行数据备份------对系统进行检查,修复,甚至重装系统------部署策略------恢复数据------打开网络连接对外提供服务。
企业级Linux服务器安全防护要点
煮酒闲谈
10-16 544
摘要这篇文章是12年的,5年以后再来看这篇文章,依然可以支撑我们对Linux服务器进行安全加固的参照依据。随着开源系统Linux的盛行,其在大中型企业的应用也在逐渐普及,很多企业的应用服务都是构筑在其之上,例如Web服务、数据库服务、集群服务等等。因此,Linux安全性就成为了企业构筑安全应用的一个基础,是重中之重,如何对其进行安全防护是企业需要解决的一个基础性问题,基于此,本文将给出十大企业级L
linux服务器开机进程启动顺序,Linux服务器启动过程详解(转载
weixin_29488835的博客
04-28 2335
1)BIOS自检2)启动Grub/Lilo3)加载内核4)执行init进程5)通过/etc/inittab文件进行初始化6)登陆Linux(1) 从BIOS到内核BIOS自检计算机在接通电源之后首先由BIOS进行自检,即进行所谓的POST(Power On SelfTest),然后依据BIOS内设置的引导顺序从硬盘、软盘或CDROM中读入“引导块”。 在 PC 中,引导 Linux 是从 BIOS...
十大企业级Linux服务器安全防护要点
str999_cn的专栏
07-18 722
随着开源系统Linux的盛行,其在大中型企业的应用也在逐渐普及,很多企业的应用服务都是构筑在其之上,例如Web服务、数据库服务、集群服务等等。因此,Linux安全性就成为了企业构筑安全应用的一个基础,是重中之重,如何对其进行安全防护是企业需要解决的一个基础性问题,基于此,本文将给出十大企业级Linux服务器安全防护的要点。   1、强化:密码管理 设定登录密码是一项非常重要的
服务器安全检测和防御技术
坏坏-5的博客
07-07 1958
关于SCSA中服务器安全检测和防御技术的介绍!
提高服务器安全等级的七个措施
weixin_30709061的博客
11-15 79
近年以来,云计算已成为信息安全界的宠儿,各家企业前仆后继的跻身于云行列中去。 云技术的出现,确实带给了现代企业非常大的便利,但与好处伴随而来的,也有不能回避的信息安全隐患。 下面就来分享提高云中服务器安全等级的7个措施,让企业有针对性的进行安全防护。 1、及时安装系统补丁。 不论是Windows还是Linux,任何操作系统都有漏洞,及时的打上补丁避免漏洞被蓄意攻击利用,是服务器安全最重要的保证之...
关于Linux服务器安全的9条建议
洒满阳光的午后的博客
09-22 1410
任何重要的系统都不能忽视服务器安全,尤其在公有云中。网上有关这方面的小建议和教程有很多很多,这里我们只看几个基础的、通用的最佳做法。 完成系统配置后应当执行的几项安全措施 以Ubuntu 16.04为例: 1、更新内核版本 当然了,不能盲目更新,但对新部署的服务器来说,使用最新版内核一般是无害的,并且能提高系统安全系数。通常人们会建议我们禁用未使用的服务,但我选择信任发行商
安全强化你的 Linux 服务器的七个步骤
qq_40907977的博客
05-18 175
转载来源 :安全强化你的 Linux 服务器的七个步骤 : http://www.safebase.cn/article-258808-1.html 这篇入门文章将向你介绍基本的 Linux 服务器安全知识。虽然主要针对 Debian/Ubuntu,但是你可以将此处介绍的所有内容应用于其他 Linux 发行版。我也鼓励你研究这份材料,并在适用的情况下进行扩展。 1、更新你的服务器 保护服务器安全的第一件事是更新本地存储库,并通过应用最新的修补程序来升级操作系统和已安装的应用程序。 在 Ubuntu 和 De
linux fstab 挂载nfs,[转载]ubuntu:fstab、开机自动挂载nfs服务器上的home分区
weixin_42510792的博客
05-15 1972
ubuntu 开机自动挂载nfs服务器上的home分区通过‘fstab’也可以配置 NFS 和 SMB的共享目录。由于涉及到的可选项很重要,并且需要了解一些协议的工作情况,您得先阅读 Samba 和 NFS 。基本语法和本地介质相差不是很多。条目中的‘device file’换成了远程服务器(remoteserver)和共享目录(share):remote_server:share local_m...
Linux服务器+GPU配置总结(四)
塞上江南的专栏
06-24 3571
1. Docker: 是一个开源的应用容器引擎,可以让开发者打包自己的应用以及依赖包到一个可移植的容器中,然后发布到任何流行的Linux机器上,也可以实现虚拟化。容器是完全适用沙箱机制,相互之间不会有任何接口。中文名是应用容器引擎,类别是操作系统层虚拟化,所使用的编程语言是Go语言。 2. Go语言:是Google开发的一种静态强类型、编译型、并发型,并具有垃圾回收功能的编程语言。类似于C语言,但对变量的声明有所不同,与Java不同的是Go内嵌了关联数组(哈希表或字典),就像字符串类型一样。 3. Go
Linux安全加固手册
weixin_34054931的博客
12-06 1847
1 身份鉴别 1.1 密码安全策略 操作系统和数据库系统管理用户身份鉴别信息应具有不易被冒用的特点,口令应有复杂度要求并定期更换。 设置有效的密码策略,防止攻击者破解出密码 1)查看空口令帐号并为弱/空口令帐号设置强密码 # awk -F: '($2 == ""){print $1}' /etc/shadow 可用离线破解、暴力字典破解或者密码网站...
【2024版】最新kali linux入门及常用简单工具介绍(非常详细)零基础入门到精通,收藏这一篇就够了_kalilinux
weixin_57514792的博客
10-07 1249
最新kali linux入门及常用简单工具介绍
Linux从小白到高手》综合应用篇:详解Linux系统调优之内存优化
最新发布
qq_45732829的博客
10-11 607
内存是影响Linux性能的主要因素之一,内存资源的充足与否直接影响应用系统的使用性能。内存调优的主要目标是合理分配和利用内存资源,减少内存浪费,提高内存利用率,从而提升系统整体性能。
linux之curl
qq_41081716的博客
10-06 429
发送指定的数据作为POST请求的主体。数据可以是键值对的形式。: 添加自定义HTTP头部。可以多次使用以添加多个头部。: 用于发送表单数据,特别是文件上传。: 指定请求方法,例如。
Linux 环境变量
wxk2227814847的博客
10-06 1141
本博客介绍了Linux环境变量的概念及其重要性,解释了如何查看、设置和管理环境变量,常见的环境变量如PATH、HOME等,以及如何通过C语言获取环境变量。此外,讨论了环境变量的全局属性及其在父子进程之间的继承性,展示了环境变量在操作系统中的灵活应用和组织方式,帮助用户更好地理解和使用环境变量来配置和优化系统环境。
Linux下Qt项目出现libQt5WebEngineCore.so报错
weixin_74239923的博客
10-08 159
总的来说,这条命令的目的是将ld.gold链接器设置为系统默认的链接器,通过替换/usr/bin/ld来实现。
服务器安全Linux版:一键管理与安全优化教程
服务器安全Linux版是一款专为Linux服务器设计的高效安全管理软件,它将服务器管理功能集成于一体,旨在帮助管理员简化操作,提高服务器安全性。该软件主要特点包括: 1. **系统参数快速设置**:用户可以通过简洁...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值