跟我学,你的服务器安全吗?第一篇----centos系统安全篇
目录
前言
本文主要为centos的系统安全
常规基础操作
服务器使用密钥对登陆,相对密码登录更加安全
配置ECS自动快照策略
linux系统登陆弱口令检查-------系统登陆弱口令
重要软件OPENSSH漏洞,用于SSH连接服务器的
基线保障(即系统安全配置)
本文主要为centos的系统安全
1.确保root是唯一的UID为0的帐户(高危)
2.开启地址空间布局随机化 | 入侵防范(高危)
3.设置用户权限配置文件的权限 | 文件权限(高危)
4.访问控制配置文件的权限设置 | 文件权限(高危)
5.确保SSH LogLevel设置为INFO | 服务配置(高危)
6.设置登陆密码失效时间(如果使用密码登陆的话,酌情设置)
7.设置密码修改最小间隔时间(高危)
8.设置SSH空闲超时退出时间(高危)
9.密码复杂度检查(高危)
10.检查密码重用是否受限制(高危)
11.检查系统空密码账户(高危)
12.禁止SSH空密码用户登录 (高危)
13.确保密码到期警告天数为7或更多(高危)
14.确保SSH MaxAuthTries设置为3到6之间(高危)
前言
本文你千载难逢,因为这些东西是需要花钱的,真真实实需要在服务器上操作的,最实用的东西,绝对值得一学,每一个都是可以实战的,非常实用,怎么让你的服务器更安全?怎么避免攻击?这你不想学吗?这么实用的东西,确定不学?
如果是让你做一个网站,或者写功能性代码,那么不管你写的多好多坏,哪怕你的代码不够优雅,但总而言之,言而总之,基础的功能实现还是没问题的,总是可以跑起来的,哪怕它跑的方式不够优雅,总之,在经过千难万难之后,你的代码大多数时候还是能跑起来的,但是,问题的关键来了,你的代码总是要上服务器的,而服务器我们一般用linux系统,那么我们的服务器配置安全吗?服务器怎么避免被攻击?就算你代码写的再好,安全到一点漏洞都没有,服务器被攻陷了,那代码不就全部都暴露了吗?
所以服务器的安全至关重要,但又刚好是大家的弱项。
为避免文章过长,同时查找起来也方便些,本系列共分为4篇,分别讲述centos系统安全,mysql数据库安全、apache应用服务器安全、tomcat安全,这是最常用的几个了。
第一篇:服务器自身安全基线(即本文)
跟我学,你的服务器够安全吗?_zhumengyisheng的博客-CSDN博客这是一篇非常值得收藏的文章,你的服务器会天天被黑客攻击吧?那怎么防的住呢?怎能才能让服务器更安全呢?跟着我做吧!https://blog.csdn.net/zhumengyisheng/article/details/121865391 第二篇:数据库安全基线(主要使用mysql数据库)
跟我学,你的服务器够安全吗?_zhumengyisheng的博客-CSDN博客这是一篇非常值得收藏的文章,你的服务器会天天被黑客攻击吧?那怎么防的住呢?怎能才能让服务器更安全呢?跟着我做吧!https://blog.csdn.net/zhumengyisheng/article/details/121865391 第三篇:apache服务安全
跟我学,你的服务器够安全吗?第三篇--apache安全_zhumengyisheng的博客-CSDN博客你的服务器是否安全?本文为apache基线安全检擦https://blog.csdn.net/zhumengyisheng/article/details/121866723 第四篇:tomcat服务安全
跟我学,你的服务器够安全吗?第四篇----tomcat安全基线检查_zhumengyisheng的博客-CSDN博客本文为tomcat相关基线检查和漏洞修复https://blog.csdn.net/zhumengyisheng/article/details/121866907
本文将详细讲解服务器安全方面的问题,如果你用的是阿里云的服务器,那么阿里云有专门的安全中心可以提供检测,这是收费服务,如果你不是阿里云服务器,那么照着做,学习人家的配置自己的,让自己的服务器更安全。但是我推荐你最好用阿里云服务器,因为这些东西你修改后它会验证检测,同时告诉你是否还有什么问题,确保你的服务器各项配置安全准确。
所以,如果你重视安全问题,害怕被攻击,那么本文不可多得,跟着做吧,但是最好还是买个阿里云服务器,它上面会指导你一项一项的做,最终防护好服务器安全。
需要阿里云的话可以先领个红包,便宜些,腾讯云的话便宜的话也可以买,但是阿里云的安全服务很好,但是也是得花钱买才行,我觉得就是正式服务器买个阿里云的,测试机什么的腾讯云如果便宜的多的话也可以买腾讯云,省钱嘛。
阿里云限量红包,速领。
阿里云限量红包https://promotion.aliyun.com/ntms/yunparter/invite.html?userCode=v6vhcyn8 腾讯云新用户专享
腾讯云优惠券_代金券_云服务器折扣券-腾讯云腾讯云优惠券,腾讯云代金券,腾讯云服务器折扣券https://cloud.tencent.com/act/vouchers/list?fromSource=gwzcw.2477393.2477393.2477393&utm_medium=cpc&utm_id=gwzcw.2477393.2477393.2477393&cps_key=b0c7af9380d6324294316347ba2c8a49 阿里云最新活动
最新活动_阿里云https://www.aliyun.com/activity?userCode=v6vhcyn8 阿里云腾讯云所有优惠汇总
浅谈VPS云服务器(内含神秘大额专属特惠)_zhumengyisheng的博客-CSDN博客怎么做一个网站?都需要什么?要个服务器?要个域名?去哪里买?哪个好啊?有优惠吗?所有的优惠都在这里了,给自己建个网站吧,毕竟要学以致用啊!https://blog.csdn.net/zhumengyisheng/article/details/121391896 好了,下面的资料都来自于这个云安全,是一些相关的建议,你可以根据这些建议,即使你不是用的阿里云,你也可以根据这些建议,加固你的服务器,确保你的服务器更加的安全,避免黑客攻击。
本文主要为centos的系统安全
常规基础操作
服务器使用密钥对登陆,相对密码登录更加安全
配置ECS自动快照策略
建议配置策略为周一、周二、周三到周末,这样的话自动快照循环保留近7天的,每次都是7天的快照,同时可以设置某个时间的永久快照保留备份,确保你的服务器安全
linux系统登陆弱口令检查-------系统登陆弱口令
3.linux系统登陆弱口令检查-------系统登陆弱口令
描述若系统使用弱口令,存在极大的被恶意猜解入侵风险,需立即修复。
检查提示
--
加固建议
执行命令passwd [<user>],然后根据提示输入新口令完成修改,其中<user>为用户名,如果不输入则修改的是当前用户的口令。口令应符合复杂性要求:
操作时建议做好记录或备份
重要软件OPENSSH漏洞,用于SSH连接服务器的
解决方案为升级openssh到最新版,至少8.8以上即可解决,但升级这个操作相对危险,一定要注意备份或者测试好之后再进行。
基线保障(即系统安全配置)
本文主要为centos的系统安全
1.确保root是唯一的UID为0的帐户(高危)
确保root是唯一的UID为0的帐户身份鉴别
描述
除root以外其他UID为0的用户都应该删除,或者为其分配新的UID
检查提示
--
加固建议
除root以外其他UID为0的用户(查看命令
cat /etc/passwd | awk -F: '($3 == 0) { print $1 }'|grep -v '^root$'
)都应该删除,或者为其分配新的UID操作时建议做好记录或备份
2.开启地址空间布局随机化 | 入侵防范(高危)
开启地址空间布局随机化入侵防范
描述
它将进程的内存空间地址随机化来增大入侵者预测目的地址难度,从而降低进程被成功入侵的风险
加固建议
在/etc/sysctl.conf或/etc/sysctl.d/*文件中设置以下参数:
kernel.randomize_va_space = 2
执行命令:sysctl -w kernel.randomize_va_space=2
操作时建议做好记录或备份
3.设置用户权限配置文件的权限 | 文件权限(高危)
设置用户权限配置文件的权限文件权限
描述
设置用户权限配置文件的权限
检查提示
--
加固建议
执行以下5条命令
chown root:root /etc/passwd /etc/shadow /etc/group /etc/gshadow chmod 0644 /etc/group chmod 0644 /etc/passwd chmod 0400 /etc/shadow chmod 0400 /etc/gshadow
操作时建议做好记录或备份
4.访问控制配置文件的权限设置 | 文件权限(高危)
访问控制配置文件的权限设置文件权限
描述
访问控制配置文件的权限设置
检查提示
--
加固建议
运行以下4条命令:
chown root:root /etc/hosts.allow chown root:root /etc/hosts.deny chmod 644 /etc/hosts.deny chmod 644 /etc/hosts.allow
操作时建议做好记录或备份
5.确保SSH LogLevel设置为INFO | 服务配置(高危)
确保SSH LogLevel设置为INFO服务配置
描述
确保SSH LogLevel设置为INFO,记录登录和注销活动
检查提示
--
加固建议
编辑 /etc/ssh/sshd_config 文件以按如下方式设置参数(取消注释):
LogLevel INFO
操作时建议做好记录或备份
6.设置登陆密码失效时间(如果使用密码登陆的话,酌情设置)
设置密码失效时间身份鉴别
描述
设置密码失效时间,强制定期修改密码,减少密码被泄漏和猜测风险,使用非密码登陆方式(如密钥对)请忽略此项。
检查提示
7.设置密码修改最小间隔时间(高危)
设置密码修改最小间隔时间身份鉴别
描述
设置密码修改最小间隔时间,限制密码更改过于频繁
检查提示
--
加固建议
在 /etc/login.defs 中将 PASS_MIN_DAYS 参数设置为7-14之间,建议为7:
PASS_MIN_DAYS 7
需同时执行命令为root用户设置:
chage --mindays 7 root
操作时建议做好记录或备份
8.设置SSH空闲超时退出时间(高危)
设置SSH空闲超时退出时间服务配置
描述
设置SSH空闲超时退出时间,可降低未授权用户访问其他用户ssh会话的风险
检查提示
--
加固建议
编辑/etc/ssh/sshd_config,将ClientAliveInterval 设置为300到900,即5-15分钟,将ClientAliveCountMax设置为0-3之间。
ClientAliveInterval 600 ClientAliveCountMax 2
操作时建议做好记录或备份
9.密码复杂度检查(高危)
密码复杂度检查身份鉴别
描述
检查密码长度和密码是否使用多种字符类型
检查提示
--
加固建议
编辑/etc/security/pwquality.conf,把minlen(密码最小长度)设置为8-32位,把minclass(至少包含小写字母、大写字母、数字、特殊字符等4类字符中等3类或4类)设置为3或4。如:
minlen=10 minclass=3
操作时建议做好记录或备份
10.检查密码重用是否受限制(高危)
检查密码重用是否受限制身份鉴别
描述
强制用户不重用最近使用的密码,降低密码猜测攻击风险
检查提示
--
加固建议
在/etc/pam.d/password-auth和/etc/pam.d/system-auth中password sufficient pam_unix.so 这行的末尾配置remember参数为5-24之间,原来的内容不用更改,只在末尾加了remember=5。
操作时建议做好记录或备份
11.检查系统空密码账户(高危)
检查系统空密码账户身份鉴别
描述
检查系统空密码账户
检查提示
--
加固建议
为用户设置一个非空密码,或者执行
passwd -l <username>
锁定用户操作时建议做好记录或备份
12.禁止SSH空密码用户登录 (高危)
禁止SSH空密码用户登录 SSH服务配置
描述
禁止SSH空密码用户登录
检查提示
--
加固建议
编辑文件
/etc/ssh/sshd_config
,将PermitEmptyPasswords配置为no:PermitEmptyPasswords no
操作时建议做好记录或备份
13.确保密码到期警告天数为7或更多(高危)
确保密码到期警告天数为7或更多身份鉴别
描述
确保密码到期警告天数为7或更多
检查提示
--
加固建议
在 /etc/login.defs 中将 PASS_WARN_AGE 参数设置为7-14之间,建议为7:
PASS_WARN_AGE 7
同时执行命令使root用户设置生效:
chage --warndays 7 root
操作时建议做好记录或备份
14.确保SSH MaxAuthTries设置为3到6之间(高危)
确保SSH MaxAuthTries设置为3到6之间 SSH服务配置
描述
设置较低的Max AuthTrimes参数将降低SSH服务器被暴力攻击成功的风险。
检查提示
--
加固建议
在/etc/ssh/sshd_config中取消MaxAuthTries注释符号#,设置最大密码尝试失败次数3-6,建议为4:
MaxAuthTries 4
操作时建议做好记录或备份
确定
15.确保rsyslog服务已启用 (高危)
确保rsyslog服务已启用安全审计
描述
确保rsyslog服务已启用,记录日志用于审计
检查提示
--
加固建议
运行以下命令启用rsyslog服务:
systemctl enable rsyslog systemctl start rsyslog
操作时建议做好记录或备份
16.后续待补充
下一篇:数据库安全基线(主要使用mysql数据库)
跟我学,你的服务器够安全吗?_zhumengyisheng的博客-CSDN博客这是一篇非常值得收藏的文章,你的服务器会天天被黑客攻击吧?那怎么防的住呢?怎能才能让服务器更安全呢?跟着我做吧!https://blog.csdn.net/zhumengyisheng/article/details/121865391 如需实践,最好的选择是阿里云,买一个也不贵,实践实践,毕竟安全无小事,安全从来都是互联网企业的命脉,一旦被入侵,轻则信息泄露,重则所有服务瘫痪,所有服务器沦陷,所有服务都没了,所有信息没了,这是要出大事的。
所以,懂安全的人的价值不言而喻,不用多说了吧?
阿里云限量红包,速领。
阿里云限量红包https://promotion.aliyun.com/ntms/yunparter/invite.html?userCode=v6vhcyn8 腾讯云新用户专享
腾讯云优惠券_代金券_云服务器折扣券-腾讯云腾讯云优惠券,腾讯云代金券,腾讯云服务器折扣券https://cloud.tencent.com/act/vouchers/list?fromSource=gwzcw.2477393.2477393.2477393&utm_medium=cpc&utm_id=gwzcw.2477393.2477393.2477393&cps_key=b0c7af9380d6324294316347ba2c8a49 阿里云最新活动
最新活动_阿里云https://www.aliyun.com/activity?userCode=v6vhcyn8 阿里云腾讯云所有优惠汇总
浅谈VPS云服务器(内含神秘大额专属特惠)_zhumengyisheng的博客-CSDN博客怎么做一个网站?都需要什么?要个服务器?要个域名?去哪里买?哪个好啊?有优惠吗?所有的优惠都在这里了,给自己建个网站吧,毕竟要学以致用啊!https://blog.csdn.net/zhumengyisheng/article/details/121391896
跟我学,你的服务器安全吗?第一篇----centos系统安全篇相关推荐
- 跟我学,你的服务器安全吗?第二篇----数据库mysql安全篇
目录 前言 本节为数据库(mysql)安全篇 1.数据库登录弱口令(高危) 2.确保没有用户配置了通配符主机名(高危) 3.为MySQL服务使用专用的最低特权账户(高危) 4.禁止使用--skip-g ...
- 跟我学,你的服务器够安全吗?第四篇----tomcat安全篇
目录 前言 1.限制服务器平台信息泄漏(高危) 2.禁止显示异常调试信息(高危) 3.AJP协议文件读取与包含严重漏洞(高危) 4.开启日志记录(高危) 5.禁止Tomcat显示目录文件列表(高危) ...
- 跟我学,你的服务器安全吗?第三篇----apache安全篇
目录 前言 1. 确保默认情况下拒绝访问OS根目录(高危) 2. 确保对OS根目录禁用覆盖(高危) 3. 配置专门用户账号和组用于运行 Apache(高危) 4. 确保已锁定apache用户帐户(高危 ...
- 辽宁学考服务器位置,辽宁学考设置服务器地址
辽宁学考设置服务器地址 内容精选 换一换 通过云服务器或者外部镜像文件创建私有镜像时,如果云服务器或镜像文件所在虚拟机的网络配置是静态IP地址时,您需要修改网卡属性为DHCP,以使私有镜像发放的新云服 ...
- 跟我一起来学弹性云服务器ECS【华为云至简致远】
[摘要] 弹性云服务器(Elastic Cloud Server,ECS)是由CPU.内存.操作系统.云硬盘组成的基础的计算组件.弹性云服务器的开通是自助完成的,您只需要指定CPU.内存.操作系统.规 ...
- mysql数据库系统配置文件_跟我学虚拟机系统平台相关技术及应用——在CentOS系统中的MySql数据库系统配置文件中进行配置定义...
跟我学虚拟机系统平台相关技术及应用--在CentOS系统中的MySql数 据库系统配置文件中进行配置定义 1.1.1MySql5.6数据库系统的配置文件 1.不同作用范围内的系统配置文件 (1)/et ...
- 学了这么久数据库,你知道五大系统数据库是什么吗?
文章目录 一.master数据库 master数据库的物理属性 数据库选项 二.model数据库 model的物理属性 三.msdb数据库 msdb的物理属性 四.tempdb数据库 tempdb的物 ...
- 视频教程-雪狐CentOS7云服务器部署微信小程序商城系统(宝塔面板)-微信开发
雪狐CentOS7云服务器部署微信小程序商城系统(宝塔面板) 1.多年开发和授课经验. 2.精通PHP.前端.Android.iOS等开发技术. 3.希望能将自己所学教给学生. 刘安良 ¥12.00 ...
- www服务器提供的第一个信息页面,第14章WWW服务
<第14章WWW服务>由会员分享,可在线阅读,更多相关<第14章WWW服务(48页珍藏版)>请在人人文库网上搜索. 1.第14章 WWW服务,学习本章应掌握: WWW服务系统中 ...
最新文章
- C#方法参数传递-同时使用ref和out关键字
- 一个c加一个g是什么牌子_一个G的流量60块钱,为什么会这么贵?
- hasOwnProperty和isPrototypeOf
- C++矩阵库 Eigen 快速入门
- echarts 环形图中间添加html,echarts配置一个中间显示文字的环形图
- 东芝出售西屋电气在即
- 一步一步搭建免费的Silverlight 2开发环境
- 麻省理工学院《算法导论》(MIT - Introduction to Algorithms)
- flask+jsonp跨域前后台交互(接口初体验)
- 【优化求解】基于matlab粒子群与遗传算法混合算法求解切削参数优化问题(以成本和碳排放量为目标函数)【含Matlab源码 1619期】
- BZOJ2038[2009国家集训队] 小Z的袜子(hose)
- 爬取网易云音乐评论,破解网易云加密算法
- 两路VL53L0X激光测距传感器的使用
- 沙漠之花--华莉丝·迪里
- Redis学习之publish命令
- 淘宝客导购产品设计 (一)
- 基于Python的OCR图像识别
- 常见的关系型数据库和非关系型数据及其区别
- 如何设计工作计划表格
- speedoffice(Excel)怎么做扇形图
热门文章
- Pytorch 基于NiN的服饰识别(使用Fashion-MNIST数据集)
- iOS Secure Enclave
- 数学基础task07 多元微分学
- vue-quill-editor:富文本编辑器使用
- 写给仿真软件研发的“一篇文章入门”系列(终)
- 基于Android的短信应用开发(三)——读取手机短信
- 北京交通大学考研运筹学还是计算机,说说我的考研----信管(北京交通大学)...
- JS中本地存储的方式有哪些?
- csapp-lab1
- python把pdf转word_手把手|20行Python代码教你批量将PDF文件转为Word格式(包教包会)...