文章目录

系列文章目录
前言
一、pandas是什么？
二、使用步骤
- 1.引入库
- 2.读入数据
总结

前言

一、Linux为什么需要加固？

Linux操作系统是一个通俗且被混淆的说法，它应该是GNU/Linux。我们不是咬文嚼字，因为这和它的稳定及安全性有重大关系。

二、开源软件与Linux Kernel

GNU/Linux 是GNU（通用公共许可证(GPL)）软件与Linux Kernel 的统称。由于 Linux 实际是一个操作系统的核心（ Kernel ）而不是一个完整的操作系统，它缺少正常使用中许多必要的软件，而 Linux 发行版则是将 Linux kernel 、GNU 软件包、工具集和文档、桌面环境等打包在一起的一个完整操作系统。(如下Linux与GNU的组合图标)。

GNU software 开源社区的一个很明显的问题是，很多项目都活不长，开发者在丢出最初几个版本后就弃坑的项目比比皆是。造成这种情况的原因是多种多样的，总的来说分享源码是开发者的权利，不在提供后续支持也是某个人的权利。毕竟社区不是公司，没有强制约束力，也不对社区软件的后续维护、版本更新付法律责任（仅有版权约束）。

目前 Linux 发行版可以分为由公司维护的版本如 Red Hat (Red Hat)， openSUSE (SUSE)和 Ubuntu (Canonical Ltd. )，以及由社区维护的版本如 Debian 、Arch Linux 、Mandriva 。中国的第一个 Linux 发行版红旗 Linux 于1999年8月发行。

GNU/Linux系统经过几十年的发展已经稳定安全了许多，但是这种安全稳定是建立在操作人员的专业素质上。

提示：以下是本篇文章正文内容，下面案例可供参考

一、控制系统账户：

示例：pandas 是基于NumPy 的一种工具，该工具是为了解决数据分析任务而创建的。

二、使用步骤

1.引入库

代码如下（示例）：

import numpy as np import pandas as pd import matplotlib.pyplot as plt import seaborn as sns import warnings warnings.filterwarnings('ignore') import ssl ssl._create_default_https_context = ssl._create_unverified_context

2.读入数据

代码如下（示例）：

data = pd.read_csv( 'https://labfile.oss.aliyuncs.com/courses/1283/adult.data.csv') print(data.head())

该处使用的url网络请求的数据。

总结

提示：这里对文章进行总结：
例如：以上就是今天要讲的内容，本文仅仅简单介绍了pandas的使用，而pandas提供了大量能使我们快速便捷地处理数据的函数和方法。

控制系统账户： 系统账户默认存放在cat /etc/passwd中，你可以手动查询用户信息，我们直接除了Root账户需要登录以外，其他的账户全部设置为禁止登录。

使用 passwd -l 用户名 锁定用户登录，如下我们写BASH脚本批量的完成这个过程。

#!/bin/bashfor temp in `cut -d ":" -f 1 /etc/passwd | grep -v "root"`
dopasswd -l $temp
done

修改口令生存期： 口令生存期，即用户密码的过期时间，默认在cat /etc/login.defs | grep "PASS" 中存储着，我们需要把这个时间改小，如下配置即可。

[root@localhost ~]# vim /etc/login.defs# Password aging controls:
#
#       PASS_MAX_DAYS   Maximum number of days a password may be used.
#       PASS_MIN_DAYS   Minimum number of days allowed between password changes.
#       PASS_MIN_LEN    Minimum acceptable password length.
#       PASS_WARN_AGE   Number of days warning given before a password expires.
#
PASS_MAX_DAYS   90      # 新建用户密码最长使用天数
PASS_MIN_DAYS   0       # 新建用户密码最短使用天数
PASS_MIN_LEN    7       # 新建用户密码到期提示天数
PASS_WARN_AGE   10      # 最小密码长度

设置口令复杂度： 设置新建用户时输入的口令复杂程度，该配置默认在cat /etc/pam.d/system-auth 文件中存放。

[root@localhost ~]# vim /etc/pam.d/system-auth#%PAM-1.0
# This file is auto-generated.
# User changes will be destroyed the next time authconfig is run.password    required pam_cracklib.so try_first_pass retry=3 dcredit=-1 lcredit=-1 ucredit=-1 ocredit=-1 minlen=10

在上方文件中添加如下一行配置，其含义是至少包含一个数字、一个小写字母、一个大写字母、一个特殊字符、且密码长度>=10

限制登录超时： 限制用户登陆成功后的等待时间，当用户终端无操作时则默认断开连接。

[root@localhost ~]# vim /etc/profileTMOUT=300
export TMOUT

限制TTY尝试次数： 该配置可以有效的防止，爆破登录情况的发生，其配置文件在cat /etc/pam.d/login中添加如下配置，这个方法只是限制用户从TTY终端登录，而没有限制远程登录。

[root@localhost ~]# vim /etc/pam.d/login#%PAM-1.0
auth required  pam_tally2.so deny=3 lock_time=300 even_deny_root root_unlock_time=10[root@localhost ~]# pam_tally2 --user lyshark    查询远程登录次数

修改SSH远程端口： 修改SSH登录端口，这里可以修改为65534等高位端口，因为Nmap扫描器默认也就探测0-1024端口，这样能够有效的规避扫描。

[root@localhost ~]# vim /etc/ssh/sshd_config# If you want to change the port on a SELinux system, you have to tell
# SELinux about this change.
# semanage port -a -t ssh_port_t -p tcp #PORTNUMBER
#
Port 65534               # 登录端口改为65534
MaxAuthTries=3           # 密码最大尝试次数3[root@localhost ~]# systemctl restart sshd
[C:\Users]$ ssh root@192.168.1.30 6553

禁止Root用户登录： 首先创建一个普通用户 lyshark ，然后配置好Sudo授权，需要时使用Sudo授权执行命令，禁止Root用户登录主机。

# --------------------------------------------------------------------------------------------
# 创建普通用户 lyshark
[root@localhost ~]# useradd lyshark
[root@localhost ~]# passwd lyshark# --------------------------------------------------------------------------------------------
# 给普通用户添加Sudo授权
[root@localhost ~]# vim /etc/sudoers## The COMMANDS section may have other options added to it.
##
## Allow root to run any commands anywhere
root    ALL=(ALL)       ALL
lyshark ALL=(ALL)       ALL
# --------------------------------------------------------------------------------------------
# 修改ROOT用户禁止登录系统
[root@localhost ~]# vim /etc/ssh/sshd_config
PermitRootLogin no[root@localhost ~]# systemctl restart sshd

除此之外，你可以通过指定那些被允许用来使用SSH的用户名，从而使得SSH服务更为安全。

[root@localhost ~]# vim /etc/ssh/sshd_configAllowUsers lyshark admin          # 指定允许登录的用户
AllowGroup lyshark admin         # 指定允许登录的用户组

登录警告提示： 通过修改 /etc/motd和/etc/issue.net来实现弹出警告提示框，当用户远程登陆以后就会提示以下的两行文字。

[root@localhost ~]# vim /etc/motd
[root@localhost ~]# vim /etc/issue.net-----------------------------------------------------------------------------------------------
Warning! If unauthorized, illegal login system, please exit immediately!!
Your system fingerprint has been recorded!!
-----------------------------------------------------------------------------------------------

限制Umask值： umask 值用于设置文件的默认属性，系统默认的Umask 值是0022，也就是U权限不动，G权限减去2，O权限减2，这里为了防止上传一句话木马，我们将系统的Umask值改为0777，也就是说，当用户新建任何文件的时候，其都不会具有（读写执行）权限，就算上传成功也不具有任何权限。

[root@localhost ~]# echo "umask 0777" >> /etc/bashrc
[root@localhost ~]# touch test1
[root@localhost ~]# mkdir test2
[root@localhost ~]#
[root@localhost ~]# ls -lh
total 0
----------. 1 root root 0 Aug 25 05:46 test1
d---------. 2 root root 6 Aug 25 05:46 test2

锁定系统文件： 锁定文件是Linux系统中最为强大的安全特性，任何用户(即使是root)，都无法对不可修改文件进行写入、删除、等操作，我们将一些二进制文件设置为只读模式，能够更好的防止系统被非法篡改或注入恶意代码，一般情况下/sbin 和/usr/lib两个目录内容能被设置为不可改变。

[root@localhost sbin]# chattr +i /sbin/
[root@localhost sbin]# chattr +i /usr/sbin/
[root@localhost sbin]# chattr +i /bin/
[root@localhost sbin]# chattr +i /sbin/
[root@localhost sbin]# chattr +i /usr/lib
[root@localhost sbin]# chattr +i /usr/lib64
[root@localhost sbin]# chattr +i /usr/libexec

限制GCC编译器： 如果系统已经被黑客入侵，那么黑客的下一个目标应该是编译一些POC文件，用来提权，从而在几秒钟之内就成为了root用户，那么我们需要对系统中的编译器进行一定的限制。

首先，你需要检查单数据包以确定其包含有哪些二进制文件。然后将这些文件全部设置为000无权限。

[root@localhost ~]# rpm -q --filesbypkg gcc | grep "bin"[root@localhost ~]# chmod 000 /usr/bin/c89
[root@localhost ~]# chmod 000 /usr/bin/c99
[root@localhost ~]# chmod 000 /usr/bin/cc
[root@localhost ~]# chmod 000 /usr/bin/gcc
[root@localhost ~]# chmod 000 /usr/bin/gcc-*
[root@localhost ~]# chmod 000 /usr/bin/gcc-*

然后，单独创建一个可以访问二进制文件的编译器的组，赋予他这个组相应的权限。

[root@localhost ~]# groupadd compilerGroup
[root@localhost ~]# chown root:compilerGroup /usr/bin/gcc
[root@localhost ~]# chmod 0750 /usr/bin/gcc

至此，任何试图使用gcc的用户将会看到权限被拒绝的信息。

[lyshark@localhost ~]$ gcc -c test.c
-bash: /usr/bin/gcc: Permission denied

限制日志文件： 接着我们需要对日志文件，进行一定的限制，因为一般情况如果系统被入侵了，日志文件将对我们取证有所帮助，而一旦被入侵以后，黑客首先会想办法清除这些痕迹，所以我们需要设置日志文件只能增加不能删除属性，防止其将日志删除掉。

[root@localhost ~]# cd /var/log/
[root@localhost log]# chattr +a dmesg cron lastlog messages secure wtmp [root@localhost log]# lsattr secure
-----a---------- secure[root@localhost log]# rm -fr secure
rm: cannot remove ‘secure’: Operation not permitted

最小化防火墙规则： 配置防火墙，拒绝所有端口，只放行SSH，HTTP这两个必要的端口。

[root@localhost ~]# iptables -F
[root@localhost ~]# iptables -p INPUT DROP[root@localhost ~]# iptables -I INPUT -p tcp --dport 6553 -j ACCEPT
[root@localhost ~]# iptables -I OUTPUT -p tcp --dport 6553 -j ACCEPT
[root@localhost ~]# iptables -A INPUT -p tcp --doprt 80 -j ACCEPT
[root@localhost ~]# iptables -A INPUT -p tcp --dport 443 -j ACCEPT
[root@localhost ~]# iptables-save

开启SELinux： 由于系统管理员都会关闭，所以这里要手动开启。

[root@localhost ~]# vim /etc/selinux/config# This file controls the state of SELinux on the system.
# SELINUX= can take one of these three values:
#     enforcing - SELinux security policy is enforced.
#     permissive - SELinux prints warnings instead of enforcing.
#     disabled - No SELinux policy is loaded.
SELINUX=enforcing[root@localhost ~]# setenforce 1

开启SeLinux后，会发现sshd服务无法正常启动了，这是因为SELinux策略生效了，下面我们需要修改配置。

SELinux放行SSH端口： 通过 Semanage 管理工具放行6553这个端口。

[root@localhost ~]# yum install -y policycoreutils-python-2.5-29.el7.x86_64[root@localhost ~]# semanage port -l | grep ssh
ssh_port_t                     tcp      22[root@localhost ~]# semanage port -a -t ssh_port_t -p tcp 6553[root@localhost ~]# semanage port -l | grep ssh
ssh_port_t                     tcp      6553, 22

设置Web目录权限： 通过 semanage 命令设置，web目录权限。

[root@localhost html]# semanage fcontext -a -t httpd_sys_content_t /var/www/html/index.html[root@localhost html]# ls -Z
-rw-r--r--. root root unconfined_u:object_r:httpd_sys_content_t:s0 index.html

Linux 系统的安全加固相关推荐

Linux系统一键安全加固shell脚本编写思路
本次分享一下个人在对Linux系统一键安全加固shell脚本编写时的一些思路: Linux系统一键安全加固shell脚本编写思路 1.编写须知 1.1 脚本使用说明 1.2 主要功能说明: 1.3隐藏 ...
Linux系统的安全加固
正如标题所在:这篇文章是一些Linux的系统加固安全,但是我想先说一下网络设备的安全加固. 关于网络设备的安全(交换机,路由等,下面例子为ensp操作) 1.sw7上面配置ssh的端口:这样的做法可以 ...
Linux 系统检测和加固脚本
获取脚本(建议使用前找测试机器验证后在线上环境使用) git clone https://github.com/duanshuaixing/tools.git cd tools/shell/Shell ...
Linux系统安全防护加固
账号和口令 1.1删除系统不需要的默认账号操作步骤使用命令 userdel <用户名> 删除不必要的账号. 使用命令 passwd -l <用户名> 锁定不必要的账号. 使 ...
服务器linux系统安全加固设置方案
对于咱们运维来说,咱们的Linux系统其实就是运维的女生,其实就是运维的女神.比如今天我一来,我发现我们这的运维小哥就拿一个朵玫瑰花直接插在服务器上,我当时给我吓一跳,然后嘴里还神神叨叨的念叨着一些东 ...
【安全运维】 linux 系统账户，网络，简易安全加固方案（第一部分），经测试可行...
前言讲到linux系统账户的管理以及安全,就必须涉及 /etc/passwd /etc/shadow 这2个文件这里以截图中文字说明的方式,来分析这2个文件的内容,并且给出一些实用的安全加固 ...
linux安全pdf,linux系统安全加固.pdf
通用 linux 系统安全加固手册系统安全加固手册 1 帐户安全配置要求 1 帐户安全配置要求 1.1 创建/etc/shadow 影子口令文件 1.1 创建/etc/shadow 影子口令文件配 ...
linux 加固检测脚本,Linux系统检测和防护脚本
1.方便将服务器安全情况通过检测脚本直接输出txt文件,同时便于检查出安全隐患. 2.缩短安全检查和防护时间,提高安全检查和防护效率 github地址 https://github.com/xiaoy ...
linux系统加固标准,Linux系统加固标准规范.doc
Linux系统加固规范山东省计算中心 TIME \@ "yyyy年M月" 20XX年6月账号管理.认证授权 Linux-01-01-01 编号 Linux-01-01-01 名 ...
Linux系统安全加固浅谈
对于企业来说,安全加固是一门必做的安全措施.主要分为:账号安全.认证授权.协议安全.审计安全.总的来说,就是4A(统一安全管理平台解决方案),账号管理.认证管理.授权管理.审计管理.用漏洞扫描工具扫描 ...

Linux 系统的安全加固

前言

一、控制系统账户：

二、使用步骤

1.引入库

2.读入数据

总结

Linux 系统的安全加固相关推荐

最新文章

热门文章