Linux操作系统安全加固

最新推荐文章于 2024-05-12 13:44:31 发布
最新推荐文章于 2024-05-12 13:44:31 发布
阅读量706 收藏 7
点赞数
分类专栏: # Linux 文章标签: 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zfw_666666/article/details/126658912
版权

一、禁ping

echo "net.ipv4.icmp_echo_ignore_all=1"  >> /etc/sysctl.conf
sysctl -p

二、关闭ICMP_TIMESTAMP应答

iptables -I INPUT -p ICMP --icmp-type timestamp-request -m comment --comment "deny ICMP timestamp" -j DROP
iptables -I INPUT -p ICMP --icmp-type timestamp-reply -m comment --comment "deny ICMP timestamp" -j DROP

三、锁定系统关键文件

#防止被篡改
chattr +i /etc/passwd /etc/shadow /etc/group /etc/gshadow /etc/inittab

四、ssh加固

4.1 限制root用户直接登录

sed -i "s#PermitRootLogin yes#PermitRootLogin no#g" /etc/ssh/sshd_config
systemctl restart sshd

4.2 修改允许密码错误次数

sed -i "/MaxAuthTries/d" /etc/ssh/sshd_config
echo "MaxAuthTries 3" >> /etc/ssh/sshd_config
systemctl restart sshd

4.3 关闭AgentForwardingTcpForwarding

sed -i "/AgentForwarding/d" /etc/ssh/sshd_config
sed -i "/TcpForwarding/d" /etc/ssh/sshd_config
echo "AllowAgentForwarding no" >> /etc/ssh/sshd_config
echo "AllowTcpForwarding no" >> /etc/ssh/sshd_config
systemctl restart sshd

4.4 关闭UseDNS

sed -i "/UseDNS/d" /etc/ssh/sshd_config
echo "UseDNS no" >> /etc/ssh/sshd_config
systemctl restart sshd

五、升级sudo版本

rpm -Uvh sudo-1.9.7-3.el7.x86_64.rpm

验证

sudo -V

六、设置会话超时(5分钟)

将值设置为readonly 防止用户更改

echo "export TMOUT=300" >>/etc/profile
echo "readonly TMOUT" >>/etc/profile
. /etc/profile

七、隐藏系统版本信息

mv /etc/issue /etc/issue.bak 
mv /etc/issue.net /etc/issue.net.bak

八、禁止Control-Alt-Delete 键盘重启系统命令

rm -rf /usr/lib/systemd/system/ctrl-alt-del.target

九、密码加固

PASS_MAX_DAYS=`grep -e ^PASS_MAX_DAYS /etc/login.defs |awk '{print $2}'`
if [ $PASS_MAX_DAYS -gt 90 ];then
    echo "密码最长保留期限为:$PASS_MAX_DAYS, 更改为90天"
    sed -i "/^PASS_MAX_DAYS/d" /etc/login.defs
    echo "PASS_MAX_DAYS   90" >> /etc/login.defs
fi

PASS_MIN_DAYS=`grep -e ^PASS_MIN_DAYS /etc/login.defs |awk '{print $2}'`
if [ $PASS_MIN_DAYS -ne 1 ];then
    echo "密码最段保留期限为:$PASS_MIN_DAYS, 更改为1天"
    sed -i "/^PASS_MIN_DAYS/d" /etc/login.defs
    echo "PASS_MIN_DAYS   1" >> /etc/login.defs
fi

PASS_MIN_LEN=`grep -e ^PASS_MIN_LEN /etc/login.defs |awk '{print $2}'`
if [ $PASS_MIN_LEN -lt 8 ];then
    echo "密码最少字符为:$PASS_MIN_LEN, 更改为8"
    sed -i "/^PASS_MIN_LEN/d" /etc/login.defs
    echo "PASS_MIN_LEN   8" >> /etc/login.defs
fi

PASS_WARN_AGE=`grep -e ^PASS_WARN_AGE /etc/login.defs |awk '{print $2}'`
if [ $PASS_WARN_AGE -ne 7 ];then
  echo "密码到期前$PASS_MIN_LEN天提醒, 更改为7"
  sed -i "/^PASS_WARN_AGE/d" /etc/login.defs
  echo "PASS_WARN_AGE   7" >> /etc/login.defs
fi
CN-FuWei
关注
  • 0
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
Linux操作系统加固
悦分享
07-23 1393
如何尽可能地加强Linux的安全性和隐私性?以下列出的所有命令都将需要root特权。以“$”符号开头的单词表示一个变量,不同终端之间可能会有所不同。
linux操作系统加固配置手册
03-27
linux操作系统加固配置手册
浅谈Linux操作系统安全加固.pdf
09-06
浅谈Linux操作系统安全加固.pdf
Linux 服务器安全加固(等保 2.0 标准)
最新发布
redmond88的博客
05-12 774
在网络中部署网络/数据库安全审计系统,通过对人员访问系统的行为进行解析、分析、记录、汇报,以帮助用户事前规划预防、事中实时监视、违规行为响应、事后合规报告、事故追踪溯源,加强内外部网络行为监管、促进核心资产(数据库、服务器、网络设备等)的正常运营。建议在网络上部署日志审计系统,采集用户网络中各种不同厂商的安全设备、网络设备、主机、操作系统、以及各种应用系统产生的海量日志信息,并将这些信息汇集到审计中心,进行集中化存储、备份、查询、审计、告警、响应,并出具丰富的审计报表。唯一可以取消这个属性的只有root。
安全加固Linux操作系统安全加固
wangluoanquan111的博客
01-04 703
通过上述步骤,可以在 /var/log/history 目录下以每个用户为名新建一个文件夹,每次用户退出后都会产生以用户名、登录IP、时间的日志文件,包含此用户本次的所有操作(root用户除外)。注意:部分系统可能使用syslog-ng日志,配置文件为:/etc/syslog-ng/syslog-ng.conf。通过脚本代码实现记录所有用户的登录操作日志,防止出现安全事件后无据可查。关闭不必要的服务(如普通服务和xinetd服务),降低风险。设置系统登录后,连接超时时间,增强安全性。
linux系统安全加固
xiejin007的博客
04-27 388
linux系统安全加固linux系统安全加固 linux系统安全加固 脚本 系统加固脚本下载地址: https://download.csdn.net/download/hzgnet2021/63201374 时间获取 脚本开头先获取本机时间 #Variable rq=`date +%Y%m%d` Linux禁用不使用的用户 将passwd先复制一份备份,然后将以下不使用的用户都禁用,如后期有需要恢复可使用 passwd -u lp 来进行恢复 #account setup echo '
Linux安全加固
qq_39330735的博客
03-29 958
etc/passwd #记录本地用户的属性信息,如UID、GID/etc/shadow #存放用户的口令信息 只有系统管理员能查看/etc/pam.d/system-auth #账户安全配置文件/etc/login.defs #修改登录的配置文件/etc/profile #Linux全局变量信息/etc/ssh/sshd config #ssh服务配置文件。
linux 禁用icmp服务(禁ping)
u011983700的专栏
11-25 4293
在对linux系统进行安全漏洞扫描时,经常会扫描出icmp漏洞:中等漏洞 ICMP timestamp response。 最常用的方法就是通过防火墙设置对应规则,修复该漏洞,参考链接:https://blog.csdn.net/u011983700/article/details/81670699 但是有时候会遇到嵌入式linux系统没有自带iptables防火墙,自己移植进去又相当麻烦,这时候最简单粗暴的方法就是直接禁用icmp服务,命令如下所示 永久禁用:     echo net.i...
linux系统安全加固方案
完颜振江
04-03 1125
Linux 系统进行安全加固是非常重要的,以确保系统免受恶意攻击和数据泄露。确保系统和安装的软件都及时更新到最新版本,以修复已知的漏洞和安全问题。在Linux系统中,你可以使用不同的命令和工具来定期更新系统和软件。以下是一些常用的命令和案例:这个命令会先更新可用的软件包列表,然后再升级所有已安装的软件包到最新版本。首先使用命令检查可用更新,然后使用命令升级所有可用的软件包。类似地,首先使用命令检查可用更新,然后使用命令升级所有可用的软件包。这个命令会更新所有已安装的Snap软件包到最新版本。
Linux安全加固操作手册
12-28
本文档将详细介绍 Linux 操作系统安全加固操作手册,涵盖身份鉴别、用户口令安全、口令生存期限制、账号锁定策略等多个方面。 1. 身份鉴别 Linux 操作系统中,身份鉴别是非常重要的一步。空口令用户是非常危险...
linux安全加固加固
06-28
last命令看一下近期的登陆情况 history 历史执行的命令 Linux中的各种日志集合 cd /var/log 查看ssh用户的登录日志: less secure 进入用户目录/home/oracle/,查看.bash_history文件: 首先通过 netstat -lnp  去查看当前开放的端口 对应的系统进程,发现可疑的直接干掉干掉之前确定是是否存在影响,若存在相关影响 应通报上级 若存在大量空连接 比如SYN_RECV状态  很有可能是存在拒绝服务攻击
Linux操作系统加固Linux操作系统加固Linux操作系统加固Linux操作系统加固Linux操作系统加固Linux操作系统
03-14
Linux操作系统加固Linux操作系统加固Linux操作系统加固Linux操作系统加固Linux操作系统加固Linux操作系统加固Linux操作系统加固Linux操作系统加固Linux操作系统加固Linux操作系统加固Linux操作系统加固Linux操作系统...
Linux操作系统加固1
08-08
Linux操作系统加固是指通过对操作系统进行配置和设置,来提高系统的安全性和稳定性。本文将从四个方面对Linux操作系统进行加固:账号和口令、服务、文件系统和日志。 一、账号和口令 账号和口令是系统安全的关键。...
Linux安全加固
qq_63501912的博客
02-10 1661
linux安全加固
Linux-安全加固
m0_52756591的博客
01-18 135
Linux-安全加固
ICMP timestamp 请求响应漏洞解决方案
微笑的 Java
08-10 4994
原链接 ICMP timestamp 请求响应漏洞 1. 解决方案 * 在您的防火墙上过滤外来的ICMP timestamp(类型13)报文以及外出的ICMP timestamp回复报文。 google之,于是动手解决: 具体解决方式就是禁用ICMP timestamp-request,编辑etc/sysconfig/iptables文件,在防火墙规则里面添加如下记录: -A RH-Firewall-1-INPUT -p ICMP --icmp-type tim...
Linux和windows系统加固
wanger5354的博客
07-28 255
微信公众号:运维开发故事,作者:wanger LINUX系统加固 1.修改ssh的配置文件,禁止root直接登录 vim /etc/ssh/sshd_config PermitRootLogin no systemctl restart sshd 2.修改密码策略配置文件,确保密码最小长度为8位 vim /etc/login.defs PASS_MIN_LEN 8 其他策略解释 PASS_MAX_DAYS 99999 #密码的最大有效期,99999:永久有效 PASS_MIN_DAYS .
通用linux系统安全加固V1.0.pdf
11-11
"通用Linux系统安全加固V1.0.pdf" 是一份针对Linux主机操作系统安全加固操作规范,旨在提高系统的安全性,防止未经授权的访问和攻击。这份文档详细列出了多个方面的安全配置要求,包括帐户安全、访问认证、文件...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

CN-FuWei

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值