linux系统安全加固
2024-05-11 15:35:43
linux系统安全加固
- linux系统安全加固
linux系统安全加固
脚本
系统加固脚本下载地址:
https://download.csdn.net/download/hzgnet2021/63201374时间获取
脚本开头先获取本机时间
#Variable
rq=`date +%Y%m%d`- Linux禁用不使用的用户
将passwd先复制一份备份,然后将以下不使用的用户都禁用,如后期有需要恢复可使用 passwd -u lp 来进行恢复
#account setup
echo '############ account setup ############'
echo ''
cp /etc/passwd{,.bak$rq}
passwd -l lp
passwd -l adm
passwd -l shutdown
passwd -l halt
passwd -l operator
passwd -l games
passwd -l gopher
passwd -l ftp
passwd -l nfsnobody
passwd -l postfix
echo ''Linux注释的组:
#group setup
echo '############ group setup ############'
echo ''
cp /etc/group{,.bak$rq}
sed -i -e 's/adm:x:4:/#adm:x:4:/' /etc/group
sed -i -e 's/games:x:20:/#games:x:20:/' /etc/group
sed -i -e 's/video:x:39:/#video:x:39:/' /etc/group
sed -i -e 's/dip:x:40:/#dip:x:40:/' /etc/group
sed -i -e 's/ftp:x:50:/#ftp:x:50:/' /etc/group
sed -i -e 's/audio:x:63:/#audio:x:63:/' /etc/group
sed -i -e 's/floppy:x:19:/#floppy:x:19:/' /etc/group
sed -i -e 's/postfix:x:89:/#postfix:x:89:/' /etc/group
echo 'disable group result:'
cat /etc/group|grep ^#
echo ''- Linux关闭不使用的服务
下面列出的几个服务如打印服务、蓝牙服务等对服务器没用用处可直接关闭来提升服务器性能,如遇到需要开启服务只需输入service acpid start && chkconfig acpid on就能重新开启服务。
#disable useless service
echo '##### disable useless service #####'
echo ''
#postfix
echo ''
service postfix stop
chkconfig postfix --level 2345 off
echo ''
#cpus
echo ''
service cups stop
chkconfig cups --level 2345 off
echo ''
#cpuspeed
echo ''
service cpuspeed stop
chkconfig cpuspeed --level 2345 off
echo ''
#bluetooth
echo ''
service bluetooth stop
chkconfig bluetooth --level 2345 off
echo ''
#firstboot
echo ''
service firstboot stop
chkconfig firstboot --level 2345 off
echo ''
echo 'nfs status:'
service netfs status
echo ''- Linux文件保护
Linux文件保护禁止修改、删除、移动文件
echo '######### chattr important file #########'
echo ''
# chattr /etc/passwd /etc/shadow
chattr +i /etc/passwd
chattr +i /etc/shadow
chattr +i /etc/group
chattr +i /etc/gshadow
echo 'Following files already locked:'
lsattr /etc/passwd
lsattr /etc/shadow
lsattr /etc/group
lsattr/etc/gshadow
echo ''如果需要修改密码,执行 chattr -i 消除权限,切记修改后要将权限加回
#chattr -i /etc/passwd
#chattr -i /etc/shadow
#chattr -i /etc/group
#chattr -i /etc/gshadow
#lsattr /etc/group /etc/passwd /etc/shadow /etc/gshadow
- 用户密码保护
用户输错密码3次后锁定用户5分钟
# Login failed limit:continue input failure 3 ,passwd unlock time 5 minite
echo '######### Login limits ##########'
echo ''
cp /etc/pam.d/system-auth{,.bak$rq}
tally=`grep -n 'pam_tally.so' /etc/pam.d/system-auth`
lib=`grep -n '/lib/security/$ISA/pam_tally.so' /etc/pam.d/system-auth`
st=$tally$lib
if [ -z "$st" ];then
sed -i 's#auth required pam_env.so#auth required pam_env.so\nauth required pam_tally.so onerr=fail deny=3 unlock_time=300\nauth required /lib/security/$ISA/pam_tally.so onerr=fail deny=3 unlock_time=300#' /etc/pam.d/system-auth
echo ''
echo 'update login server limits ---->continue input failure 3 ,passwd unlock time 5 minite'
echo ''
else
echo ''
echo 'Login restriction policy already exists on the server!The script will not modify this.'
echo ''
fi- 用户注销
用户登录后5分钟无任何操作将自动注销用户
# system timeout 5 minite auto logout
echo ''
echo '######### set auto logout #########
cp /etc/profile{,.bak$rq}
tmout=`grep -n 'TMOUT=' /etc/profile`
if [ -z "$tmout" ];then
echo "TMOUT=300" >>/etc/profile
echo ''
echo 'update login server limits ----> timeout 5 minite auto logout'
echo ''
else
echo ''
echo 'Login timeout policy already exists on the server!The script will not modify this.'
echo ''
fi- Linux减少history命令记录
执行过的历史命令记录越多,从一定程度上讲会给维护带来简便,但同样会伴随安全问题。
echo '############## set save history command ##############'
# will system save history command list to 10
echo ''
sed -i "s/HISTSIZE=/#HISTSIZE=/" /etc/profile
echo "HISTSIZE=10" >>/etc/profile
# enable /etc/profile
source /etc/profile
echo ''
echo '/etc/profile already update'
echo ''- 开启SYN Cookies
表示开启SYN Cookies。当出现SYN等待队列溢出时,启用cookies来处理,可防范少量SYN攻击
echo '############## enable syncookie ##############'
echo ''
# add syncookie enable /etc/sysctl.conf
echo "net.ipv4.tcp_syncookies=1" >> /etc/sysctl.conf
sysctl -p
echo ''- SSH优化
修改SSH用户最大连接数,通过关闭 UseDNS和GSSAPIAuthentication选项加速 SSH登录
echo '############## optimize sshd ##############'
echo ''
# optimizer sshd_config
sed -i "s/#MaxAuthTries 6/MaxAuthTries 6/" /etc/ssh/sshd_config
sed -i "s/#UseDNS yes/UseDNS no/" /etc/ssh/sshd_config
echo ''
echo 'currently config:'
grep -n 'MaxAuthTries' /etc/ssh/sshd_config
grep -n 'UseDNS' /etc/ssh/sshd_config
echo ''- 历史记录
对历史记录命令保存进行优化禁止覆盖、禁止修改该文件
echo '############## history security ##############'
echo ''
# history security
chattr +a /root/.bash_history
chattr +i /root/.bash_history
echo ''
echo '/root/.bash_history already locked:'
lsattr /root/.bash_history
echo ''- 复制日志
将日志复制保存
echo ############## backup system log ##############
echo 'The program will move the log of System operation status to /var/log/HZGNETsecurityreinforce '
mkdir -p /var/log/HZGNETsecurityreinforce/$rq
#cp /var/log/message /var/log/HZGNETsecurityreinforce/$rq
#cp /var/log/auth.log /var/log/HZGNETsecurityreinforce/$rq
cp /var/log/cron /var/log/HZGNETsecurityreinforce/$rq
cp /var/log/maillog /var/log/HZGNETsecurityreinforce/$rq
cp /var/log/secure /var/log/HZGNETsecurityreinforce/$rq
cp /var/log/wtmp /var/log/HZGNETsecurityreinforce/$rq
cp /var/run/utmp /var/log/HZGNETsecurityreinforce/$rq
cp /var/log/yum.log /var/log/HZGNETsecurityreinforce/$rq
echo ' Log Backup completed.'linux系统安全加固相关推荐
- linux安全pdf,linux系统安全加固.pdf
通用 linux 系统安全加固手册 系统安全加固手册 1 帐户安全配置要求 1 帐户安全配置要求 1.1 创建/etc/shadow 影子口令文件 1.1 创建/etc/shadow 影子口令文件 配 ...
- Linux系统安全加固浅谈
对于企业来说,安全加固是一门必做的安全措施.主要分为:账号安全.认证授权.协议安全.审计安全.总的来说,就是4A(统一安全管理平台解决方案),账号管理.认证管理.授权管理.审计管理.用漏洞扫描工具扫描 ...
- 服务器linux系统安全加固设置方案
对于咱们运维来说,咱们的Linux系统其实就是运维的女生,其实就是运维的女神.比如今天我一来,我发现我们这的运维小哥就拿一个朵玫瑰花直接插在服务器上,我当时给我吓一跳,然后嘴里还神神叨叨的念叨着一些东 ...
- Linux系统安全加固策略(二)
一.安装和升级 使用custom自定义安装,不必要的软件包尽量不装,如有必要给lilo/grub引导器加入口令限制,安装完成后使用up2date.yum或是apt(Debian)升级系统软件,有时升级 ...
- Linux系统安全加固指南(万字长文)
本指南旨在说明如何尽可能地加强Linux的安全性和隐私性,并且不限于任何特定的指南. 免责声明:如果您不确定自己在做什么,请不要尝试在本文中使用任何内容. 本指南仅关注安全性和隐私性,而不关注性能,可 ...
- linux系统安全加固基础篇1
对于强大的linux来说,我们一定程度上都会认为是她秀坚强.稳定,同时也很有魅力.更多的如何使用她,而并没有对她的安全篇有很多的涉足,抛砖引玉,简单从常用的日志审计及pam用户验证块做个实例应用. 1 ...
- Linux系统安全加固设置详细教程
1.如果是新安装系统, 一.对磁盘分区应考虑安全性: 1)根目录(/).用户目录(/home).临时目录(/tmp)和/var目录应分开到不同的磁盘分区: 2)以上各目录所在分区的磁盘空间大小应充分考 ...
- Linux 系统安全加固
1,变更默认的ssh服务端口,禁止root用户远程连接 1 2 3 4 5 6 7 [root@ljohn ~]# cp /etc/ssh/sshd_config /etc/ssh/sshd_conf ...
- Linux 系统安全加固篇之安全加固脚本
该专栏内的脚本都会定期更新,请注意变化 脚本适用于Centos 7.x系列,同样支持Redhat 7.x系列 使用之前建议通读脚本注释,并确认不会影响你现在在用的业务 注意脚本内部包含一定的参数,这些 ...
- Linux系统 安全加固
一. 账号安全 账号锁定 passwd -l scu passwd -u scu 本质:在/etc/shadow密码列前增加"!" 口令策略 vi /etc/login.defs ...
最新文章
- C++模板基本概念及语法
- oracle 查看表属主和表空间sql
- boost::fusion::join用法的测试程序
- NgRx Selector 的 Memoization 特性学习笔记
- 元宇宙对未来网络技术的挑战
- 51信用卡 Android自动埋点实践
- 6加载光盘 virtualbox vm_6个轻量级Linux发行版(2019年)
- html如何写微信弹窗,微信小程序 自定义弹窗实现过程(附代码)_而已_前端开发者...
- 处理收到的Stanzas
- c++语言坦克大战源代码,C++代码之坦克大战(1)(示例代码)
- 微信小程序 选择器 picker ;demo大全附效果图
- 《Unsupervised Part-based Weighting Aggregation of Deep Convolutional Features for Image Retrieval》笔记
- 下一代无服务器的发展形态: Serverless2.0
- 增长或下降的百分比计算以及同比环比概念
- delphi10.2的Date/time 实用程序单元DateUtils.pas
- BIOS 并口设置选项SPP, EPP, ECP区别
- lec formality inconclusive举例
- Redis使用的21条军规(规范)
- 【Proteus仿真】Arduino UNO+PCF8574+LCD1602+MPX4250电子秤
- Centos-7.5Linux系统启动原理及故障排除