2024年运维最全linux安全加固(1)，2024年最新2024年Linux运维开发者常见面试题

最全的Linux教程，Linux从入门到精通

======================

1. linux从入门到精通(第2版)

2. Linux系统移植

3. Linux驱动开发入门与实战

4. LINUX 系统移植 第2版

5. Linux开源网络全栈详解 从DPDK到OpenFlow

第一份《Linux从入门到精通》466页

====================

内容简介

====

本书是获得了很多读者好评的Linux经典畅销书**《Linux从入门到精通》的第2版**。本书第1版出版后曾经多次印刷，并被51CTO读书频道评为“最受读者喜爱的原创IT技术图书奖”。本书第﹖版以最新的Ubuntu 12.04为版本，循序渐进地向读者介绍了Linux 的基础应用、系统管理、网络应用、娱乐和办公、程序开发、服务器配置、系统安全等。本书附带1张光盘，内容为本书配套多媒体教学视频。另外,本书还为读者提供了大量的Linux学习资料和Ubuntu安装镜像文件，供读者免费下载。

本书适合广大Linux初中级用户、开源软件爱好者和大专院校的学生阅读，同时也非常适合准备从事Linux平台开发的各类人员。

需要《Linux入门到精通》、《linux系统移植》、《Linux驱动开发入门实战》、《Linux开源网络全栈》电子书籍及教程的工程师朋友们劳烦您转发+评论

网上学习资料一大堆，但如果学到的知识不成体系，遇到问题时只是浅尝辄止，不再深入研究，那么很难做到真正的技术提升。

需要这份系统化的资料的朋友，可以点击这里获取！

一个人可以走的很快，但一群人才能走的更远！不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人，都欢迎加入我们的的圈子（技术交流、学习资源、职场吐槽、大厂内推、面试辅导），让我们一起学习成长！

在/etc/hosts.allow添加允许ip,(其中192.168.0.11是你要允许登陆ssh的ip,或者 是一个网段192.168.0.0/24)

sshd:192.168.0.11:allow 在/etc/hosts.deny添加,(表示除了上面允许的，其他的ip 都拒绝登陆ssh) sshd:ALL

key方式登录：

ssh还可以设定public key的方式登录，生成一对key，把public key上传到服务器，这样利用public key和private key认证方式来登录会更安全；

4.2 设置访问控制策略限制能够管理本机的IP地址

检查方法：

#cat /etc/ssh/sshd_config 查看有无AllowUsers的语句

备份方法：

#cp -p /etc/ssh/sshd_config /etc/ssh/sshd_config_bak

加固方法：

#vi /etc/ssh/sshd_config，添加以下语句

AllowUsers *@10.138.*.* 此句意为：仅允许10.138.0.0/16网段所有用户通过ssh访问

保存后重启ssh服务

#service sshd restart

4.3 禁止root用户远程登陆

检查方法：

#cat /etc/ssh/sshd_config 查看PermitRootLogin是否为no

备份方法：

#cp -p /etc/ssh/sshd_config /etc/ssh/sshd_config_bak

加固方法：

#vi /etc/ssh/sshd_config

PermitRootLogin no

保存后重启ssh服务

service sshd restart

4.4 限定信任主机

检查方法：

#cat /etc/hosts.equiv 查看其中的主机

#cat /$HOME/.rhosts 查看其中的主机

备份方法：

#cp -p /etc/hosts.equiv /etc/hosts.equiv_bak

#cp -p /$HOME/.rhosts/$HOME/.rhosts_bak

加固方法：

#vi /etc/hosts.equiv 删除其中不必要的主机

#vi /$HOME/.rhosts 删除其中不必要的主机

风险：在多机互备的环境中，需要保留其他主机的IP可信任。

4.5 屏蔽登录banner信息

检查方法：

#cat /etc/ssh/sshd_config 查看文件中是否存在Banner字段，或banner字段为NONE

#cat /etc/motd 查看文件内容，该处内容将作为banner信息显示给登录用户。

备份方法：

#cp -p /etc/ssh/sshd_config /etc/ssh/sshd_config_bak

#cp -p /etc/motd /etc/motd_bak

加固方法：

#vi /etc/ssh/sshd_config

banner NONE

#vi /etc/motd

删除全部内容或更新成自己想要添加的内容

4.6 防止误使用Ctrl+Alt+Del重启系统

检查方法：

#cat /etc/inittab|grep ctrlaltdel 查看输入行是否被注释

备份方法：

#cp -p /etc/inittab /etc/inittab_bak

加固方法：

#vi /etc/inittab

在行开头添加注释符号“#”

#ca::ctrlaltdel:/sbin/shutdown -t3 -r now

五、用户鉴别

5.1 设置帐户锁定登录失败锁定次数、锁定时间

检查方法：

#cat /etc/pam.d/system-auth 查看有无auth required pam_tally.so条目的设置

备份方法：

#cp -p /etc/pam.d/system-auth /etc/pam.d/system-auth_bak

加固方法：

#vi /etc/pam.d/system-auth

auth required pam_tally.so onerr=fail deny=6 unlock_time=300 设置为密码连续错误6次锁定，锁定时间300秒

解锁用户 faillog -u <用户名> -r

风险：需要PAM包的支持;对pam文件的修改应仔细检查，一旦出现错误会导致无法登陆;

当系统验证出现问题时，首先应当检查/var/log/messages或者/var/log/secure中的输出信息，根据这些信息判断用户账号的有效性。

5.2 修改帐户TMOUT值，设置自动注销时间

检查方法：

#cat /etc/profile 查看有无TMOUT的设置

备份方法：

#cp -p /etc/profile /etc/profile_bak

加固方法：

#vi /etc/profile

增加

TMOUT=600 无操作600秒后自动退出

风险：无可见风险

5.3 Grub/Lilo密码

检查方法：

#cat /etc/grub.conf|grep password 查看grub是否设置密码

#cat /etc/lilo.conf|grep password 查看lilo是否设置密码

备份方法：

#cp -p /etc/grub.conf /etc/grub.conf_bak

#cp -p /etc/lilo.conf /etc/lilo.conf_bak

加固方法：为grub或lilo设置密码

风险：etc/grub.conf通常会链接到/boot/grub/grub.conf

5.4 限制FTP登录

检查方法：

#cat /etc/ftpusers 确认是否包含用户名，这些用户名不允许登录FTP服务

备份方法：

#cp -p /etc/ftpusers /etc/ftpusers_bak

加固方法：

#vi /etc/ftpusers 添加行，每行包含一个用户名，添加的用户将被禁止登录FTP服务

风险：无可见风险

5.5 设置Bash保留历史命令的条数

检查方法：

#cat /etc/profile|grep HISTSIZE=

#cat /etc/profile|grep HISTFILESIZE= 查看保留历史命令的条数

备份方法：

#cp -p /etc/profile /etc/profile_bak

加固方法：

#vi /etc/profile

修改HISTSIZE=5和HISTFILESIZE=5即保留最新执行的5条命令

六、审计策略

6.1 配置系统日志策略配置文件

检查方法：

#ps –aef | grep syslog 确认syslog是否启用

#cat /etc/syslog.conf 查看syslogd的配置，并确认日志文件是否存在

系统日志(默认)/var/log/messages

cron日志(默认)/var/log/cron

安全日志(默认)/var/log/secure

备份方法：

#cp -p /etc/syslog.conf

6.2 为审计产生的数据分配合理的存储空间和存储时间

检查方法：

#cat /etc/logrotate.conf 查看系统轮询配置，有无

rotate log files weekly

weekly

keep 4 weeks worth of backlogs

rotate 4 的配置

备份方法：

#cp -p /etc/logrotate.conf /etc/logrotate.conf_bak

加固方法：

#vi /etc/logrotate.d/syslog

增加

rotate 4 日志文件保存个数为4，当第5个产生后，删除最早的日志

size 100k 每个日志的大小

加固后应类似如下内容：

/var/log/syslog/*_log {

missingok

notifempty

size 100k # log files will be rotated when they grow bigger that 100k.

rotate 5 # will keep the logs for 5 weeks.

compress # log files will be compressed.

网上学习资料一大堆，但如果学到的知识不成体系，遇到问题时只是浅尝辄止，不再深入研究，那么很难做到真正的技术提升。

需要这份系统化的资料的朋友，可以点击这里获取！

一个人可以走的很快，但一群人才能走的更远！不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人，都欢迎加入我们的的圈子（技术交流、学习资源、职场吐槽、大厂内推、面试辅导），让我们一起学习成长！