linux基本安全防护
1,常用服务:修改默认用户名密码
a, cloudera manager
mysql> update scm.USERS set USER_NAME='admin456' where USER_NAME like '%admin%';
Query OK, 1 row affected (0.00 sec)
Rows matched: 1 Changed: 1 Warnings: 0mysql> select * from scm.USERS where USER_NAME like '%admin%';
+---------+-----------+------------------------------------------------------------------+---------------------+----------------+-------------------------+
| USER_ID | USER_NAME | PASSWORD_HASH | PASSWORD_SALT | PASSWORD_LOGIN | OPTIMISTIC_LOCK_VERSION |
+---------+-----------+------------------------------------------------------------------+---------------------+----------------+-------------------------+
| 1 | admin456 | 0b87d30c5587d98dcfc6298e85b9aa41f840e877ac4868d094ba7ee31b54968e | 4886822280275476414 | 1 | 1 |
+---------+-----------+------------------------------------------------------------------+---------------------+----------------+-------------------------+
1 row in set (0.00 sec)
2,操作系统基本安全配置
#0, 升级mysql5.7 审计功能,库重命名系统默认账户,限制访问权限; 设置密码复杂度
#设备本地设置访问控制列表限制终端接入范围,开启have_openssl加密协议
# create user 'root'@'192.168.1.%' identified by 'ABCabc123!'; #1, 操作系统审计,日志保留半年
if which systemctl &>/dev/null ;then echo centos7systemctl start rsyslog auditd systemctl enable rsyslog auditd
elseecho centos6service rsyslog start; service auditd startchkconfig rsyslog on ; chkconfig auditd on
fi
sed -i 's/^rotate.*/rotate 26/' /etc/logrotate.conf
sed -i '1i/var/log/audit/audit.log' /etc/logrotate.d/syslog
sed -i 's/max_log_file_action.*/max_log_file_action = KEEP_LOGS/' /etc/audit/auditd.conf
service auditd restart#2, 操作系统未根据管理用户的角色合理分配权限 :创建sudo权限用户,默认密码( 用户名_pass@123# )
pass_suffix="_pass@123#"
useradd shenji
echo -e "shenji${pass_suffix}\nshenji${pass_suffix}" |passwd shenji
chage -M 90 -m 5 -W 20 shenji
chage -d 0 shenji
sed -i '/NOPASS/ashenji ALL = (ALL) /bin/cat , /usr/bin/less , /bin/more , /usr/bin/tail , /usr/bin/head' /etc/sudoersuseradd anquan
echo -e "anquan${pass_suffix}\nanquan${pass_suffix}" |passwd anquan
chage -M 90 -m 5 -W 20 anquan
chage -d 0 anquan
sed -i '/NOPASS/aanquan ALL=(ALL) ALL' /etc/sudoers#3, 操作系统未重命名默认账户(root)
sed -i.bak 's@^root@superuser@' /etc/shadow
sed -i.bak 's@^root@superuser@' /etc/group
sed -i.bak 's@^root@superuser@' /etc/passwd #4,操作系统存在多余的账户(adm、lp、games、uucp)
for i in adm lp news uucp shutdown halt mail operator games ftp nobody nfsnobody llama ; do sed -i.bak "s@^$i@#$i@" /etc/passwd /etc/shadow
done#5,设定终端接入方式或网络地址范围对通过网络进行管理的管理终端进行限制
echo 'sshd : ALL' >> /etc/hosts.denyip_range_arr=$( hostname -I |xargs -n1|sed 's/.[0-9]*$/./' )
for i in ${ip_range_arr[*]} 'localhost'
doecho sshd : $i >> /etc/hosts.allow
done
echo "the local net range ,to access this server are: $ip_range_arr" |xargs#6,操作系统未设置密码复杂度要求,密码有效期为90天
sed -i 's/PASS_MAX_DAYS.*/PASS_MAX_DAYS 90/' /etc/login.defs
sed -i 's/PASS_MIN_LEN.*/PASS_MIN_LEN 8/' /etc/login.defs
sed -i 's/PASS_MIN_DAYS.*/PASS_MIN_DAYS 2/' /etc/login.defs
sed -i '/^password/s/\(pam_cracklib.so.*type=\)/\1 difok=1 minlen=8 ucredit=-1 lcredit=-1 ocredit=-1 dcredit=-1 /' /etc/pam.d/system-auth
#awk -F: '{if(index($2,"$")>0 ) print " chage -M 90 -m 5 -W 20",$1}' /etc/shadow |bash#7, 操作系统未设置登录失败处理功能,未限制登录次数,登录超时自动退出
sed -i '1iauth required pam_tally2.so deny=3 unlock_time=5 even_deny_root root_unlock_time=10' /etc/pam.d/login
sed -i '/^auth.*required/iauth required pam_tally2.so deny=3 unlock_time=120 even_deny_root root_unlock_time=300' /etc/pam.d/sshd
echo "export TMOUT=300" >> /etc/profile
echo "export TMOUT=300" >> /etc/bashrc
linux基本安全防护相关推荐
- 充分利用Linux操作系统安全防护工具(转贴)
Linux的安全防护离不开各种工具,Linux的开源性也促进了这些优秀的安全防护工具的发展. 目前在Linux环境下的安全工具林林总总,种类繁多.本文精选一些比较常用的.具有代表性的加以介绍,它们包括 ...
- Linux系统怎么做安全防护,linux系统安全防护
linux系统安全防护大体上分成4个关键部分: 1.文件系统的保护.linux系统就是文件系统,其中的所有设备都是通过文件进行操作和管理的. 2.用户管理安全.linux是多任务,多用户的操作系统,用 ...
- linux安全狗 nginx,linux 下 safedog 防护 Nginx
safedog 出现了针对 linux 下 nginx 的防护, 网站安全狗Linux-Nginx版 这是一款集网站漏洞防护.网站防盗 链.网站特定资源保护.IP 黑白名单功能为一体的服务器安全防护软 ...
- Linux服务器安全防护十个方面
1.为LILO增加开机口令 在/etc/lilo.conf文件中增加选项,从而使LILO启动时要求输入口令,以加强系统的安全性.具体设置如下: boot=/dev/hda map=/boot/map ...
- 【安全狗】linux免费服务器防护软件安全狗详细安装教程
在费用有限的基础上,复杂密码+云服务器基础防护+常见端口替换+安全软件,可以防护绝大多数攻击 第一步:下载服务器安全狗Linux版(下文以64位版本为例) 官方提供了两个下载方式,本文采用的是 方式2 ...
- linux操作系统安全防护
Linux系统攻防对抗实践 一.实践内容 在Metasploit渗透攻击框架软件中寻找一个针对Linux系统服务的渗透攻击模块,在网络安全攻防实验环境中部署有漏洞的环境(如渗透利用第三方网络服务,需要 ...
- Linux 服务器基本防护
1. root 密码安全 2. 防止SSH破解 3. 服务器账号管理要严格 4. 分析系统日志 5. 定期查看硬件损坏情况 grep error /var/log/messages 6. 使用chkr ...
- Linux系统安全防护加固
账号和口令 1.1删除系统不需要的默认账号 操作步骤 使用命令 userdel <用户名> 删除不必要的账号. 使用命令 passwd -l <用户名> 锁定不必要的账号. 使 ...
- 网站加速与Linux服务器防护
网站加速方面 1. Nginx 配置 gzip 压缩 开启nginx gzip压缩后,网页.css.js等静态资源的大小会大大的减少,从而可以节约大量的带宽,提高传输效率,给用户快的体验.虽然会消耗c ...
最新文章
- visual basic6.0企业版
- antd 轮播图样式_React - AntD 走马灯组件前后切换面板
- 分析BootstrapClassLoader/ExtClassLoader/AppClassLoader的加载路径 及父委托机制
- 【Java例题】1.3给朋友的贺卡
- java 优秀开源项目
- neo4j︱neo4j批量导入neo4j-import (五)
- 一个实现业务规则组合小框架
- js正则及常用方法函数总结
- Visual Studio 2008 安装失败(“Web 创作组件”)安装失败
- 高通BMS的研究 高通电量计
- 实数系的基本定理_11、实数的连续性(1)
- oracle联合分组查询,Oracle分组查询
- 飞机大战源码php,飞机大战源码 - 丁小未的个人页面 - OSCHINA - 中文开源技术交流社区...
- 【计算机组织与体系结构】实验二:给定指令系统的处理器设计
- 表格进阶03——简历制作(用表格布局)
- 0x00007FFEB46D3F57 (mfc140ud.dll)处(位于*.exe 中)引发的异常: 0xC0000005: 读取位置 0x00000000
- GPU编程 CUDA C++ 数组归约的示例和解释
- R 加权最小二乘 代码_如何用EXCEL的规划求解功能优化投资组合的阿尔法值(最小二乘估计法)?...
- 怎么下载优酷视频呢,你可以这样下
- VNC Connect远程工具使用-使用体验极高