账号和口令

禁用或删除无用账号

减少系统无用账号,降低安全风险。
操作步骤
查看无用账户: 
cat /etc/passwd |cut -f 1 -d :

使用命令

userdel <用户名>

删除不必要的账号。

使用命令 
passwd -l <用户名>

锁定不必要的账号。

使用命令 
passwd -u <用户名>

解锁必要的账号。

检查特殊账号

检查是否存在空口令和root权限的账号。
操作步骤
查看空口令和root权限账号,确认是否存在异常账号:
使用命令 
awk -F: '($2=="")' /etc/shadow

查看空口令账号。

使用命令 
awk -F: '($3==0)' /etc/passwd

查看UID为零的账号。   //root权限的账户

加固空口令账号:
使用命令 passwd <用户名> 为空口令账号设定密码。
确认UID为零的账号只有root账号。

禁用或删除无用账号

减少系统无用账号,降低安全风险。

操作步骤

cat /etc/shadow   查看有多少账户

服务
关闭不必要的服务
关闭不必要的服务(如普通服务和xinetd服务),降低风险。
操作步骤
使用命令systemctl disable <服务名>设置服务在开机时不自动启动。
chkconfig --list   查看启动服务
说明: 对于部分老版本的Linux操作系统(如CentOS 6),可以使用命令chkconfig --level <init级别> <服务名> off设置服务在指定init级别下开机时不自动启动。

SSH服务安全

对SSH服务进行安全加固,防止暴力破解成功。
操作步骤
使用命令 
vim /etc/ssh/sshd_config

编辑配置文件。

不允许root账号直接登录系统。
设置 PermitRootLogin 的值为 no。
修改SSH使用的协议版本。
设置 Protocol 的版本为 2。
修改允许密码错误次数(默认6次)。
设置 MaxAuthTries 的值为 3。
配置文件修改完成后,重启sshd服务生效。

文件系统
设置umask值
设置默认的umask值,增强安全性。
操作步骤
使用命令 
vi /etc/profile

修改配置文件,添加行 umask 027, 即新创建的文件属主拥有读写执行权限,同组用户拥有读和执行权限,其他用户无权限。

设置登录超时
设置系统登录后,连接超时时间,增强安全性。
操作步骤
使用命令 
 vi /etc/profile

修改配置文件,将以 TMOUT= 开头的行注释,设置为TMOUT=180,即超时时间为三分钟。

日志
     syslogd日志

启用日志功能,并配置日志记录。
操作步骤
Linux系统默认启用以下类型日志:
系统日志(默认)/var/log/messages
cron日志(默认)/var/log/cron
安全日志(默认)/var/log/secure
注意:部分系统可能使用syslog-ng日志,配置文件为:/etc/syslog-ng/syslog-ng.conf。
您可以根据需求配置详细日志。
记录所有用户的登录和操作日志
通过脚本代码实现记录所有用户的登录操作日志,防止出现安全事件后无据可查。
操作步骤
运行 [root@xxx /]# vim /etc/profile打开配置文件。
在配置文件中输入以下内容:

 history   USER=`whoami`   USER_IP=`who -u am i 2>/dev/null| awk '{print $NF}'|sed -e 's/[()]//g'`if [ "$USER_IP" = "" ]; then   USER_IP=`hostname`   fi   if [ ! -d /var/log/history ]; then
mkdir /var/log/history   chmod 777 /var/log/history
fi   if [ ! -d /var/log/history/${LOGNAME} ]; then
mkdir /var/log/history/${LOGNAME}chmod 300 /var/log/history/${LOGNAME}   fi   export HISTSIZE=4096
DT=`date +"%Y%m%d_%H:%M:%S"` export HISTFILE="/var/log/history/${LOGNAME}/${USER}@${USER_IP}_$DT"   chmod 600 /var/log/history/${LOGNAME}/*history* 2>/dev/null

运行 [root@xxx /]# source /etc/profile 加载配置生效。
注意: /var/log/history 是记录日志的存放位置,可以自定义。
通过上述步骤,可以在 /var/log/history 目录下以每个用户为名新建一个文件夹,每次用户退出后都会产生以用户名、登录IP、时间的日志文件,包含此用户本次的所有操作(root用户除外)。
同时,建议您使用OSS服务收集存储日志。

安全审计
审计内容包括系统内重要的安全相关事件
实操:
结果将导致发生故障或入侵事件不便于分析故障或入侵行为,不能再需要时作为证据
service rsyslog ststus,service auditd status,
cat /etc/audit/auditd.conf中是否配置
write_logs = yes
log_file = /var/log/audit/audit.log
log_format = RAW
max_log_file = 8
num_logs = 5
max_log_file_action = ROTATE
cat /etc/audit/audit.rules查看是否存在
-w /etc/passwd -p rwa -k passwd_changes
-w /etc/shadow -p rwa -k shadow_changes
-w /etc/sudoers -p rwa -k sudoers_changes
-w /etc/rsyslog.conf -p rwa -k rsyslog_changes
-w /etc/group -p rwa -k group_changes
-w /var/log/message -p rwa -k message_changes
-w /var/log/secure -p rwa -k secure_changes
-w /var/log/maillog -p rwa -k maillog_changes
-w /var/log/cron -p rwa -k cron_changes
-w /var/log/spooler -p rwa -k spooler_changes
-w /etc/audit/audit.rules -p rwa -k audit_changes
-w /etc/audit/rules.d/audit.rules -p rwa -k audit_changes
cat /etc/rsyslog.conf 查看是否存在
kern.warning;*.err;*.info;kern.debug;daemon.notice;mail.none;authpriv.none;cron.none /var/log/kern.log
时间
安全审计记录未包含所有重要的审计记录字段,未配置NTP校正系统时间
操作:date查看当前系统时间
意义:无法进行关联分析,不能及时对部分较复杂的安全事件进行发现和报警
操作系统未安装专门的审计进程保护软件,无法对审计进程进行保护,避免受到未预期中断,日志保留时间小于6个月
cat /etc/rsyslog.conf中查看是否存在
*.*@@remote-host:514
或询问是否存在其他措施对审计日志进行保护
更新系统内核和安装防病毒软件
使用命令uname -sr查看
Centos7/RHEL7  3.10.0-1062.1.2.el7
Cetnos6/RHEL6  2.6.32-754.23.1.el6
询问管理员是否有月度主机扫描报告
定期对操作系统进行漏洞扫描并修补发现的漏洞,未更新系统内核至
方最新安全版。
Linux系统安装杀毒软件clamav
在线演示
https://www.cnblogs.com/hftian/p/11711701.html
Webshell 样例
以下是一个php的样例。从界面看,它的功能还是比较全的,可以对
务器的文件目录进行读写操作。如果你是网站管理员的话,肯定不希
普通用户获得下面的权限。
Webshell如何被注入
常见的Webshell植入方式以下类型:
利用站点上传漏洞,上传Webshell。
系统前台的上传业务可被利用来上传Webshell脚本,而被上传的目录
往对用户开放可执行权限。在Web中有上传图像、资料文件的地方,
传完后通常会向客户端返回上传文件的完整URL信息;该URL一般是常见的image、upload等目录。
如果Web服务器对网站存取权限或者文件夹目录权限控制不严,就可能被利用来实现Webshell攻击。攻击者可以利用上传功能上传一个脚本文件,然后通过URL访问并执行这个脚本;然后攻击者就可以上传Webshell到网站的任意目录中,从而拿到网站的管理员控制权限。黑客获取管理员的后台密码,登录到后台系统,利用后台的管理工具向配置文件写入Webshell木马;或者私自添加上传类型,允许上传类似ASP、PHP格式的脚本程序文件。利用数据库备份与恢复功能获取Webshell。例如,备份时把备份文件的后缀改成 .asp;
如果后台有MySQL数据查询功能,黑客可以执行select..in To outfile查询输出PHP文件,并把代码插入到MySQL,从而生成Webshell的木马。系统中其他站点被攻击,或者服务器上还搭载了FTP服务器。FTP服务器被攻击时被注入了Webshell的木马,导致网站系统被感染。黑客直接攻击Web服务器系统漏洞,实现入侵。Web服务器在系统层面也可能存在漏洞,如果黑客利用其漏洞攻击服务器系统;在获取其权限后,黑客就可以在Web服务器目录里上传Webshell文件。综上,Webshell能够入侵到系统,一般是由于以下原因:
通过Web站点漏洞上传Webshell。Webshell能够被注入,在很大程度是由于服务器或中间件的安全漏洞。例如,以下常见漏洞都可能被利用来注入Webshell:旧版本的IIS目录解析漏洞、文件名解析漏洞、应用后台暴露和弱口令、Fast-CGI解析漏洞、Apache文件解析漏洞、截断上传、后台数据库备份功能上传、数据库语句上传漏洞等。
站点部署时混入了Webshell文件。大量的用户在使用从网上下载的第三方开源代码时,其代码本身已经混入了Webshell的恶意脚本,造成二次入侵或多次入侵。所以在部署前期,如果不是新开发的代码,都需要对代码进行恶意文件扫描查杀,防止上线后被入侵。
如何防止系统被植入Webshell
配置必要的防火墙并开启防火墙策略;防止暴露不必要的服务,为黑客提供利用条件。对服务器进行 安全加固。例如,关闭远程桌面功能、定期更换密码、禁止使用最高权限用户运行程序、使用HTTPS加密协议。加强权限管理,对敏感目录进行权限设置,限制上传目录的脚本执行权限,不允许配置执行权限等。
安装Webshell检测工具,发现检测结果后,立即隔离查杀,并排查漏洞。排查程序存在的漏洞,并及时修补漏洞。您可以通过应急响应服务人工界入,协助排查漏洞及入侵原因,同时可以选用商业Web应用防火墙进行防御,降低被入侵机率。
网站被植入Webshell的解决方案
Webshell从字面上理解,”Web”指需要服务器开放Web服务,”shell”指取得对服务器的某种程度的操作权限。Webshell指匿名用户(入侵者)通过网站端口,获取网站服务器的一定操作权限。
Webshell通常是以ASP、PHP、JSP、ASA或者CGI等网页文件形式存在的一种命令执行环境,也称为网页后门。黑客在入侵网站后,通常会将Webshell后门文件与网站服务器Web目录下正常的网页文件混在一起;然后使用浏览器来访问这些后门,得到命令执行环境,以达到控制网站或者Web系统服务器的目的。
黑客如果想使用Webshell完成一些特殊的功能,就不可避免地用到一些特殊函数。通过对这些函数进行对照特征值检查,就能够定位Webshell,但是Webshell本身也会进行加密来躲避这种检测。

Linux主机系统加固相关推荐

  1. linux主机操作性日志恢复测试,Linux主机操作系统加固规范标准[详].doc

    . . Linux主机操作系统加固规范 目 录 TOC \o "1-5" \h \z 1账号管理.认证授权 1 1.1账号 1 1.1.1SHG-Linux-01-01-01 1 ...

  2. linux主机基本情况,查看linux主机系统基本信息.pdf

    查看linux 主机系统的基本信息 一. 硬件信息 1. CPU a. Cat /proc/cpuinfo 例: [root@linux victor]# cat /proc/cpuinfo proc ...

  3. Linux主机安全加固方法使用开源软件fail2ban防护主机

    目录 常见的三种加固措施 一.主机基础安全加固(方法一) 1.密码足够的复杂 2.修改sh默认端口号 3.禁止 root 远程登录 4.Linux主机黑白名单限制远程连接地址 5.服务器之间通过密钥免 ...

  4. linux主机安全加固,linux主机安全加固方案.doc

    . . PAGE word版本 PAGE 2 目 录 TOC \o "1-3" \h \z \u LINUX加固方案 1 1.安装最新安全补丁 4 2.网络和系统服务 4 3.核心 ...

  5. Shell脚本之批量修改linux主机系统用户密码

    一.需求说明   数据中心运维根据等保要求我们需要定期修改操作系统用户密码,一般是要求3个月修改一次.一个一个的修改很浪费时间,我们需要批量修改,此脚本就是批量修改Linux系统的操作系统账户密码,此 ...

  6. linux 应急响应 病毒清除 系统加固

    概述 Linux环境下处理应急响应事件往往会更加的棘手,因为相比于Windows,Linux没有像Autorun.procexp这样的应急响应利器,也没有统一的应急响应处理流程.所以,这篇文章将会对L ...

  7. linux 无响应_系统加固之Linux安全加固

    Linux系统基本操作 文件结构图及关键文件功能介绍 Linux文件结构 Linux文件结构图 二级目录 目录 功能 /bin 放置的是在单人维护模式下能被操作的指令,在/bin底下的指令可以被roo ...

  8. linux云主机安全加固

    环境情况: 百度智能云,ubuntu1804,系统盘20G,数据盘50G,数据盘挂载点:/opt 安全加固操作 1.禁止ping 目的:为防止网络中的不法分子使用Ping操作来试探云主机的端口,故禁止 ...

  9. Linux服务器系统安全加固(centos7系列)

    文章目录 Linux服务器系统安全加固 系统安全加固的目的: 系统安全加固的方法: 1. 账户安全: 1.1 锁定系统中多余的自建账号 1.2 设置系统口令密码策略 1.3 限制su为root的用户: ...

最新文章

  1. 字符串操作、文件操作,英文词频统计预处理
  2. 通过仿真和综合认识JK触发器(Verilog HDL语言描述JK触发器)
  3. windows server 2008相关安装
  4. String , StringBuffer 和 StringBuilder 区别
  5. Android实现点击事件的4种方式
  6. SQL注入攻击实现原理与攻击过程详解
  7. java quartz timer_Java定时器Quartz和Timer
  8. java 减少内存_java中减少内存占用小技巧
  9. 用计算机做科学实验心得体会,科学实验的心得体会
  10. flex柱状图和折线图的混合图使用
  11. python怎么查看网页编码格式_Python写爬虫时如果碰到以Request Payload格式传输数据怎么办?...
  12. mysql hibernate 延迟_在mysql数据库中,hibernate一对多的集合的延迟加载无效
  13. 从零开始刷Leetcode——数组(697.717.724)
  14. Python正则表达式:最短匹配
  15. FastDFS单机、单节点和多节点集群部署文档
  16. 【NLP】揭秘马尔可夫模型神秘面纱系列文章(四)
  17. fseek函数与ftell函数使用例程
  18. c语言模拟键盘自动按键,C语言实现模拟键盘按键事件
  19. 机器学习 简答题 速记
  20. Radish 任务抢占系统

热门文章

  1. 二分法查找平方和_面试手撕系列:二分法
  2. python和php可以一起用吗_Apache同时支持PHP和Python的配置方法
  3. 点击area不出现黑框_30款厨房门,黑框?白框?你家选哪个合适?
  4. 十年硬件老司机,结合实际案例,带你探索单片机低功耗设计!
  5. 在电路设计中,这7个接口类型太重要了,我难道不该学学么!
  6. java throwable判断,Java异常处理 Throwable实现方法解析
  7. 小波相干wtc matlab,实现时间序列的小波相干性分析,并画出图谱
  8. 计算机辅助分析及应用论文,故障树计算机辅助分析及应用研究-机械制造及自动化专业论文.docx...
  9. upload-labs_pass 9_::$DATA_绕过
  10. 20220202--CTF刷题MISC方向--第7题--编码