Linux服务器基线配置

最新推荐文章于 2024-04-06 00:12:25 发布
最新推荐文章于 2024-04-06 00:12:25 发布
阅读量231 收藏
点赞数
分类专栏: # 基线配置
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_47659136/article/details/117997587
版权

1、登陆超时时间设置,300秒

[ ! -z "$(cat /etc/profile | egrep "^TMOUT")" ] && sed -i "/^TMOUT/c\TMOUT=300" /etc/profile || echo "TMOUT=300" >> /etc/profile

2、启用远程日志功能

[ -f /etc/syslog.conf ] || echo "*.*   @192.168.0.1" > /etc/syslog.conf
[ ! -z "$(cat /etc/syslog.conf | egrep "^[^#].*\..*\s*\@((((2[0-4]\d|25[0-5]|[01]?\d\d?)\.){3}(2[0-4]\d|25[0-5]|[01]?\d\d?))|.*\.*)")" ] || echo "*.*   @192.168.0.1" >> /etc/syslog.conf

[ -f /etc/rsyslog.conf ] || echo "*.*   @192.168.0.1" > /etc/rsyslog.conf
[ ! -z "$(cat /etc/rsyslog.conf | egrep "^[^#].*\..*\s*\@((((2[0-4]\d|25[0-5]|[01]?\d\d?)\.){3}(2[0-4]\d|25[0-5]|[01]?\d\d?))|.*\.*)")" ] || echo "*.*   @192.168.0.1" >> /etc/rsyslog.conf

3、限制 root 用户远程登录

cp /etc/ssh/sshd_config /etc/ssh/sshd_config$(date "+%Y%m%d%H%M%S")
for user in $( cat /etc/passwd | grep "/bin/bash" | cut -d":" -f1 );do grp_and="";for grp in $(groups $user | cut -d":" -f2);do grp_and=${grp_and:+${grp_and}","}$grp;done; usermod -G ${grp_and:+${grp_and}","}"wheel" $user ;done
for user in $( cat /etc/passwd | grep "/bin/bash" | cut -d":" -f1 );do id $user;done
[ -n "$(cat /etc/ssh/sshd_config | egrep "^PermitRootLogin")" ] && sed -i "/^PermitRootLogin/c\PermitRootLogin no"  /etc/ssh/sshd_config || echo "PermitRootLogin no" >>  /etc/ssh/sshd_config

4、设置密码过期时间,90天

[ -n "$(cat /etc/login.defs | grep ^PASS_MAX_DAYS)" ] && sed -i "/^PASS_MAX_DAYS/c\PASS_MAX_DAYS   90" /etc/login.defs || echo "PASS_MAX_DAYS   90" >> /etc/login.defs
for user in $( cat /etc/passwd | grep "/bin/bash" | cut -d":" -f1);do chage -M 99999 -W 7 $user;done

5、配置密码复杂度

以下适用于centos7

sed -i  "/^password\s*requisite\s*pam_cracklib\.so /d" /etc/pam.d/system-auth
sed -i  "/^password\s*requisite\s*pam_pwquality\.so /d" /etc/pam.d/system-auth
echo "password    requisite     pam_cracklib.so  try_first_pass retry=3 dcredit=-1 lcredit=-1 ucredit=-1 ocredit=-1 minlen=8 minclass=3" >> /etc/pam.d/system-auth
echo "password    requisite     pam_pwquality.so try_first_pass local_users_only retry=3 authtok_type=" >> /etc/pam.d/system-auth
[ -n "$(cat /etc/login.defs | grep ^PASS_MIN_LEN)" ] && sed -i "/^PASS_MIN_LEN/c\PASS_MIN_LEN    8" /etc/login.defs || echo "PASS_MIN_LEN    8" >> /etc/login.defs

6、限制用户su到root

for user in $( cat /etc/passwd | grep "/bin/bash" | cut -d":" -f1 );do grp_and="";for grp in $(groups $user | cut -d":" -f2);do grp_and=${grp_and:+${grp_and}","}$grp;done; usermod -G ${grp_and:+${grp_and}","}"wheel" $user ;done
for user in $( cat /etc/passwd | grep "/bin/bash" | cut -d":" -f1 );do id $user;done
sed -i "/^auth\s*required\s*pam_wheel.so/d" /etc/pam.d/su
[ -n "$(cat /etc/pam.d/su | egrep "^\s*auth\s*sufficient\s*.*pam_rootok\.so")" ] || echo "auth       sufficient    pam_rootok.so" >> /etc/pam.d/su
[ -n "$(cat /etc/pam.d/su | egrep "^\s*auth\s*required\s*.*pam_wheel.so\s*group\s*\=\s*wheel")" ] ||  echo "auth       required    pam_wheel.so group=wheel" >> /etc/pam.d/su

7、删除潜在危险文件

rm -rf /.rhost
rm -rf /.netrc
rm -rf /etc/hosts.equiv

8、记录 cron 行为日志

[ -n "$(cat /etc/rsyslog.conf | egrep "^\s*cron\.\*")" ] || echo "cron.*                                                  /var/log/cron" >> /etc/rsyslog.conf
[ -n "$(cat /etc/syslog.conf | egrep "^\s*cron\.\*")" ] || echo "cron.*                                                  /var/log/cron" >> /etc/syslog.conf

9、配置日志文件安全权限

chmod 600 /var/log/messages
chmod 600 /var/log/secure
chmod 600 /var/log/maillog
chmod 600 /var/log/cron
chmod 600 /var/log/spooler
chmod 600 /var/log/boot.log

 

雨师非巫师
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
服务器基线核查脚本
12-20
服务器基线脚本,审查基线漏洞,生成对应结果报告!!
Windows服务器基线配置
weixin_47659136的博客
06-10 453
注册表设置 1、配置防御SYN攻击,检查是否启用SYN攻击保护 echo Windows Registry Editor Version 5.00 >>1.reg echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters]>>1.reg echo "SynAttackProtect"=dword:00000001>>1.reg echo "TcpMaxPortsExhaus
Linux 服务器基线配置
最新发布
qq_28776313的博客
04-06 428
通过以上步骤,我们对Linux服务器进行了基线加固,从而提高了服务器的安全性。然而,网络安全问题是一个不断发展和变化的领域,因此我们需要不断更新自己的知识,并采取适当的措施来保护我们的服务器。作为服务器管理员,保障服务器的安全性是至关重要的。在Linux服务器上运行许多服务,但并不是所有服务都是必需的。在Linux服务器上运行的每个用户都应该只有必要的权限,这有助于减少潜在的安全漏洞。首先,我们需要更新系统和软件包,以确保系统中存在的漏洞被修复。然后找到以下行并将其更改为“no”:​​​​​​​。
Linux服务器--基线检查
热门推荐
✨ 欢迎来到【Seal ^_^ 的CSDN博客】!这里是我记录技术心得、分享经验的地方。✨
05-18 1万+
基线检查——安全基线配置核查(或检查)的简称,指为满足网络安全规范要求,服务器设备安全配置必需达到的最低安全标准,例如服务器上的账号、口令、日志、认证授权合规性配置等。
linux基线
weixin_34411563的博客
09-01 388
1.物理防护 BIOS设置密码 引导grub.conf添加密码2.系统安装时采用最小化原则,只安装base services3.应用数据分区与系统隔离4.禁用开机不需要启动的服务5.隐藏系统信息6.服务器和互联网时间同步7.sudo对普通用户权限精细控制8.密码策略:有效期90天 复杂度16位8.ssh安全加固9.优化Linux内核,增加系统文件描述符、堆栈等配置10...
Linux系统安全基线检查脚本
04-25
Linux系统安全基线检查脚本
linux基线配置文档1
08-08
此文档适用于所有需要进行安全初始化的Linux服务器,无论其是作为Web服务器、数据库服务器还是其他应用服务器。它也适用于个人工作站和开发环境,以保障用户数据的安全。 #### 1.3 适用版本 此基线配置文档适用...
Linux和windows 基线检查工具脚本
10-15
本资源提供了针对Linux和Windows操作系统基线检查工具脚本,这可以帮助管理员快速评估和确认他们的服务器是否处于安全状态。 对于"Linux和Windows基线检查工具脚本",我们可以深入探讨以下几个关键知识点: 1. *...
Linux安全配置基线
04-19
配置标准适用于所有由XXXX公司管理信息系统部门维护的LINUX服务器系统,包括但不限于服务器系统管理员、应用管理员及网络安全管理员等角色。 **1.3 适用版本** 适用于LINUX系列的所有服务器版本。 **1.4 实施**...
Linux服务器操作系统加固方法
09-15
本帮助手册旨在指导系统管理人员或安全检查人员进行Linux操作系统的安全合规性检查和加固,需要的朋友可以参考下
Linux安全基线配置规范.docx
05-25
linux 安全加固配置服务器,weblogic,oracle等,设置时根据实际情况配置,某些配置可能会引起一些风险
linux基线检查脚本+excel标准.zip
02-20
根据某某安全公司经常给第三方公司做基线检查的标准,用shell编写的linux基线检查脚本,将脚本放入需要检查的服务器,在对应位置输入sh.脚本名称,跑完后的结果直接与excel对应填写就好
服务器基线配置项及配置方法
smile_tianya的博客
04-02 7470
检查系统openssh安全配置、检查是否设置命令行界面超时退出、检查是否删除了潜在危险文件、检查用户目录缺省访问权限设置、检查是否设置口令更改最小间隔天数、检查是否设置口令生存周期、检查是否禁止root用户远程登录。
Windows Server服务器安全加固基线配置
weixin_44147924的博客
08-25 1612
一、账户管理、认证授权。
shell实现对Windows服务器的安全基线检查
流星影shin的博客
10-28 3269
1.    需求及功能 目前对服务器的管理,始终离不开安全这个话题。如果要对一台windows服务器的安全基线进行一个检查,你认为需要多长的时间呢? 我们的检查内容主要包括:当前服务器性能检查(CPU使用率\内存使用率\磁盘使用率)、安全组策略加固设置检查、注册表加固设置检查、系统服务加固设置检查等等。要求记录现有设置,并且通过与我们要求的设置进行对比,判断检查结果是否符合安全规范。 如果通...
Linux安全基线配置全解析
关注微信公众号【开源Linux】,后台回复『10T』,领取10T学习资源大放送,涵盖Linux、虚拟化、容器、云计算、网络、Python、Go等书籍和视频
04-12 2506
来自:https://blog.csdn.net/chj_1224365967/article/details/114589867现在大多数企业都是使用linux作为服务器,不仅是linux是开源系统,更是因为linux比windows更安全。但是由于管理员的安全意识不全或者疏忽,导致linux的敏感端口和服务没有正确的配置,可能会被恶意利用,所以需要进行基线加固。1.基线即安全基线配置,诸如操作...
CentOS基线脚本,三级等保服务器系统安全配置脚本
欢迎关注,共同学习进步!
01-16 757
基线脚本仅适用于Centos7,SUSE,TencentOS2.4系统
windows基线检查脚本_迈出等保合规的稳健一步:安全基线做好了吗?
weixin_39624367的博客
11-22 1369
网络安全建设总是需要按照一定的规范要求来进行,比如等保2.0、CIS安全标准等;通常来说,这些标准是一个系统保持安全稳定运行所需的“最低安全标准”,也就是所谓的“安全基线”。安全基线工作有什么阻碍?完整的安全基线内容主要由三方面必须满足的最低要求组成:系统存在的安全漏洞、系统配置的脆弱性、系统状态的监控。安全基线通过安全合规管理机制判断用户的应用环境安全是否达标,提供一个信息系统所需的最基本的安全...
rsyslog日志系统
hello,word!
02-10 2193
模板定义的形式有四种,适用于不同的输出模块,一般简单的格式,可以使用string的形式,复杂的格式,建议使用list的形式,使用list的形式,可以使用一些额外的属性字段(property statement),例如:position.from、position.end。比较典型的一个例子,针对不同的端口使用不同的过滤规则。在定义好ruleset后,各个输出模块就可以指定自己使用的ruleset了,具体如何指定,可以查看输出模块的手册,一般会有一个ruleset的参数,用来实现这个功能。
Linux服务器安全基线
12-12
Linux服务器安全基线是指在Linux服务器上设置一系列的安全策略和措施,以保障服务器的安全性和稳定性。其中包括但不限于以下几个方面: 1.密码策略:设置密码长度、复杂度、有效期等,可以通过执行命令 `grep -E '^minlen|^minclass' /etc/security/pwquality.conf` 查看当前密码策略的配置。 2.用户管理:包括添加、删除、修改用户,设置用户权限等。 3.文件权限:设置文件的读、写、执行权限,以及文件所属用户和用户组等。 4.网络安全:包括防火墙设置、禁止root用户远程登录、禁止使用不安全的协议等。 5.日志管理:设置日志的存储位置、日志轮转策略、日志监控等。 为了保障服务器的安全性,我们可以执行以下操作: 1.备份配置文件:在执行任何操作之前,最好备份当前的配置文件,以便出现问题时可以快速恢复。可以通过执行命令 `cp -p /etc/security/pwquality.conf /etc/security/pwquality.conf_bak` 来备份当前的密码策略配置文件。 2.更新系统:及时更新系统补丁,以修复已知的漏洞和安全问题。 3.安装安全软件:安装防火墙、入侵检测系统等安全软件,以提高服务器的安全性。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值