Linux 系统安全加固
1,变更默认的ssh服务端口,禁止root用户远程连接
|
1
2
3
4
5
6
7
|
[root@ljohn ~]# cp /etc/ssh/sshd_config /etc/ssh/sshd_config.bak
[root@ljohn ~]# vim /etc/ssh/sshd_config
Port 10022 #ssh连接默认的端口
PermitRootLogin no #root用户黑客都知道,禁止它远程登录
[root@ljohn ~]# /etc/init.d/sshd reload #从新加载配置
[root@ljohn ~]# netstat -lnt #查看端口信息
[root@ljohn ~]# lsof -i tcp:10022
|
或者直接修改用如下命令:
|
1
2
3
|
cp /etc/ssh/sshd_config /etc/ssh/sshd_config.bak
sed -i "s/#PermitRootLogin yes/PermitRootLogin no/" /etc/ssh/sshd_config
sed -i "s/#Port 22/Port 10022/" /etc/ssh/sshd_config
|
注:这样做的目的是防止root用户暴力破解,22端口为ssh默认的端口,建议使用其他端口
/etc/init.d/sshd reload
service sshd restart && history -c #重启sshd服务
演示:
# ssh root@192.168.137.33 10022 这样就显示服务器拒绝了root用户登录。
2,添加普通用户并进行sudo授权管理
|
1
2
3
4
5
|
[root@ljohn ~]# useradd cljj
[root@ljohn ~]# echo "123456" | passwd --stdin cljj && history –c ##这条命令历史记录要清除
[root@ljohn ~]# visudo
在root ALL=(ALL) ALL此行下,添加如下内容
cljj ALL=(ALL) ALL
|
演示:
|
1
2
3
4
5
6
7
8
|
[cljj@ljohn home]$ sudo cat -n /etc/issue
[sudo] password for cljj: #这里输入当前用户的密码,临时授予root用户权限
cljj is not in the sudoers file. This incident will be reported.
[cljj@ljohn home]$ sudo cat -n /etc/issue
[sudo] password for cljj:
1CentOS release 6.8 (Final)
2Kernel \r on an \m
3
|
注:此方式可以限制用于的权限,防止篡改系统配置文件导致系统瘫痪
3,当普通用户登录时,密码输入错误三次,系统马上把该用户锁定10分钟,root用户锁定20分钟
编辑/etc/pam.d/sshd (ssh登录)
/etc/pam.d/login (终端)
|
1
2
|
cp /etc/pam.d/sshd /etc/pam.d/sshd.bak #在文件末添加如下行:
auth required pam_tally2.so deny=3 unlock_time=600 even_deny_root root_unlock_time=1200
|
各参数解释:
even_deny_root 也限制root用户;
deny 设置普通用户和root用户连续错误登陆的最大次数,超过最大次数,则锁定该用户
unlock_time 设定普通用户锁定后,多少时间后解锁,单位是秒;
root_unlock_time 设定root用户锁定后,多少时间后解锁,单位是秒;
查看登陆次数:
查看某一用户错误登陆次数:
pam_tally –-user 用户
例如,查看cljj 用户的错误登陆次数:
pam_tally –-user cljj
清空某一用户错误登陆次数:
pam_tally –-user 用户 –-reset
例如,清空 cljj 用户的错误登陆次数,
pam_tally –-user cljj –-reset
注:此方式也可以防御暴力破解用户账号
4,锁定关键文件系统
|
1
2
3
4
5
|
[root@ljohn ~]# chattr +i /etc/passwd
[root@ljohn ~]# chattr +i /etc/inittab
[root@ljohn ~]# chattr +i /etc/group
[root@ljohn ~]# chattr +i /etc/shadow
[root@ljohn ~]# chattr +i /etc/gshadow
|
使用chattr命令后,为了安全我们需要将其改名
[root@ljohn ~]# /bin/mv /usr/bin/chattr /usr/bin/任意名称
注:将有关用户账号密码的配置文件限制权限,也也可以有效的防止恶意篡改。
5,登出时间限制600登出时间,及HISTSIZE =10000
|
1
2
3
4
5
6
|
cp /etc/profile /etc/profile.bak
echo export TMOUT=600 >> /etc/profile #增加10分钟超时退出
echo export HISTTIMEFORMAT=\'%F %T `whoami` \' >> /etc/profile #记录操作历史记录的时间
echo export HISTFILESIZE=10000 >> /etc/profile
echo export HISTSIZE=10000 >> /etc/profile
source /etc/profile
|
注:history命令历史可以有效的将用户的行为记录下来,一方面可以方便查找,也可以查看用户在什么时间做了哪些操作。
Linux 系统安全加固相关推荐
- linux安全pdf,linux系统安全加固.pdf
通用 linux 系统安全加固手册 系统安全加固手册 1 帐户安全配置要求 1 帐户安全配置要求 1.1 创建/etc/shadow 影子口令文件 1.1 创建/etc/shadow 影子口令文件 配 ...
- Linux系统安全加固浅谈
对于企业来说,安全加固是一门必做的安全措施.主要分为:账号安全.认证授权.协议安全.审计安全.总的来说,就是4A(统一安全管理平台解决方案),账号管理.认证管理.授权管理.审计管理.用漏洞扫描工具扫描 ...
- 服务器linux系统安全加固设置方案
对于咱们运维来说,咱们的Linux系统其实就是运维的女生,其实就是运维的女神.比如今天我一来,我发现我们这的运维小哥就拿一个朵玫瑰花直接插在服务器上,我当时给我吓一跳,然后嘴里还神神叨叨的念叨着一些东 ...
- Linux系统安全加固策略(二)
一.安装和升级 使用custom自定义安装,不必要的软件包尽量不装,如有必要给lilo/grub引导器加入口令限制,安装完成后使用up2date.yum或是apt(Debian)升级系统软件,有时升级 ...
- Linux系统安全加固指南(万字长文)
本指南旨在说明如何尽可能地加强Linux的安全性和隐私性,并且不限于任何特定的指南. 免责声明:如果您不确定自己在做什么,请不要尝试在本文中使用任何内容. 本指南仅关注安全性和隐私性,而不关注性能,可 ...
- linux系统安全加固基础篇1
对于强大的linux来说,我们一定程度上都会认为是她秀坚强.稳定,同时也很有魅力.更多的如何使用她,而并没有对她的安全篇有很多的涉足,抛砖引玉,简单从常用的日志审计及pam用户验证块做个实例应用. 1 ...
- Linux系统安全加固设置详细教程
1.如果是新安装系统, 一.对磁盘分区应考虑安全性: 1)根目录(/).用户目录(/home).临时目录(/tmp)和/var目录应分开到不同的磁盘分区: 2)以上各目录所在分区的磁盘空间大小应充分考 ...
- Linux 系统安全加固篇之安全加固脚本
该专栏内的脚本都会定期更新,请注意变化 脚本适用于Centos 7.x系列,同样支持Redhat 7.x系列 使用之前建议通读脚本注释,并确认不会影响你现在在用的业务 注意脚本内部包含一定的参数,这些 ...
- Linux系统 安全加固
一. 账号安全 账号锁定 passwd -l scu passwd -u scu 本质:在/etc/shadow密码列前增加"!" 口令策略 vi /etc/login.defs ...
最新文章
- SQL 自学笔记1(W3School)
- windows安装visual studio code并配置latex并编写latex论文
- python是一种什么类型的编程语言-Python这么火,为什么说它不是未来的编程语言?...
- html table没有align,HTML
- SAP Spartacus新建org unit之后,排序不正确的问题分析
- 获取/设置IFRAME内对象元素的几种JS方法
- C++和Opencv4.5 实现全景图像拼接
- 苹果切换输入法_日语输入法哪个好
- 指数级暴增、复杂场景下,揭秘百度云原生湖仓架构等系列数据产品
- rpa操作excel_何必绞尽脑汁,RPA应用场景不用想!
- excel index 函数
- 企业为什么需要一套固定资产管理系统
- linux etc xdg,Xdg-menu (简体中文)
- 网站分析平台:是选择百度统计,还是 Google Analytics 呢?
- php获取真实图片后缀
- 通信天线建模与MATLAB仿真分析,通信天线建模与MATLAB仿真分析代码
- photoshop 2021 for mac安装教程,亲测可用!!!
- exure9 秘钥_AxureRP9.0秘钥(持续更新)
- Office2007 Beta2简体中文版免费下载
- 易通眼镜店配镜记录档案管理软件 v4.04 绿色