linux 系统安全

linux  系统安全

新装机器的配置

1  设置密码复杂一点

2  禁止root 远程ssh 登陆

3  修改ssh端口

4  设置防火墙

5  使用tcp_wrapper

6  禁止control+alt+delelte 重启

7  检查:重要文件权限设置

8  限制外来IP地址ping 主机(根据实际情况确定)

9  selinux

已经运行过的服务器,检查系统安全

1  检查服务

netstat -an

top

ps -elf

2 检查哪些用户在线

w

who

who /var/log/wtmp

users

last

3 检查安全日志

less  /var/log/secure

专题:linux 系统安全 

1 密码设置复杂一点

2 禁止root本地登录

vi /etc/pam.d/login

auth required pam_succeed_if.so user != root quiet

禁止root远程ssh登陆

vi /etc/ssh/sshd_config

PermitRootLogin no

3 修改ssh登陆端口

vi /etc/ssh/sshd_config

修改#port 22为port 47777

自定义端口选择建议在万位的端口(如:10000-65535之间)

重启SSH服务/etc/init.d/sshd restart

友情小提示:建议不要着急退出本ssh链接,新ssh链接测试,以防新手设置错误登不进来

4 设置防火墙

=================================================================

一 硬件安全

1 bios安全(硬件上的安全)

设置bios密码

2 禁止使用control+alt+delete 重启机器

vi /etc/inittab

# ca::ctrlaltdel:/sbin/shutdown -t3 -r now

二 账号安全

1 vi /etc/login.defs login程序的配置文件,修改密码长度和有效期

2 vi /etc/profile 环境变量设置文件

3 vi /etc/passwd

4 特别账号处理

如果不启动用sendmail,删除如下用户

[[email protected] wh]# userdel adm

[[email protected] wh]# userdel lp

[[email protected] wh]# userdel sync

[[email protected] wh]# userdel shudown

[[email protected] wh]# userdel halt

[[email protected] wh]# userdel mail

如果不用X windows服务器.可有删除

[[email protected] wh]# userdel news

[[email protected] wh]# userdel uucp

[[email protected] wh]# userdel operator

[[email protected] wh]# userdel games

如果不允许匿名FTP帐号登陆,可删除

[[email protected] wh]# userdel gopher

[[email protected] wh]# userdel ftp

三 重要文件安全设置

1 chmod   改变文件的属主

2 chattr  改变文件的属性

我们要做的是把重要文件的属主改成root并给相应的权限,还有就是改变文件的属性让它禁止被修改

1,/etc/passwd,passwd-,passwd.OLD,group,group- 用户,组的ID等信息文件.

2,/etc/shadow,shadow-,gshadow,gshadow- 用户,组密码加密文件.

3,/etc/xinetd.conf 网络守护进程主配置文件

4,/etc/inittab  系统在启动是会读取这个文件里的内容.

5,/etc/services 防止未经许可的删除或添加服务

6,/etc/rc.d/rc.sysinit 系统启动是需要读取的文件,

7,/etc/rc.d/init.d/*

以一个文件为例,其它都一样

[[email protected] etc]# chmod 700 passwd

[[email protected] etc]# chattr +i passwd

当chattr +i时就是禁止对文件进行修改,当我们要添加用户时,就会有麻烦,因为passwd文件禁止修改写入.所以

我们还要该掉它的属性.chattr -i.

四 防止攻击系统安全的设置

1 限制用户使用系统资源,主要包括资源最大进程数,内存使用量等.这样可以防止DOS类型攻击

vi /etc/security/limits.conf

2 vi /etc/pam.d/login

3 vi /etc/securetty 限制控制台的访问

4  禁止外来的ping 请求

vi /etc/rc.d/rc.local

在最后加入一行

echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_all

5  防止IP地址欺骗

vi /etc/host.conf

加入如下几行

order bind,hosts

multi off

nospoof on

6  禁止su 命令进入root

vi /etc/pam.d/su

...

在下面加入如下两行

auth sufficient /lib/security/pam_rootok.so debug

auth required /lib/security/pam_wheel.so group=xxx

这表示只有xxx组的用户可以su成root.

7 使用tcp_wrapper

vi  /etc/hosts.deny

vi  /etc/hosts.allow

8 删减登陆信息

[[email protected] ~]# rm -f /etc/issue

[[email protected] ~]# rm -f /etc/issue.net

 [[email protected] ~]# touch /etc/issue

[[email protected] ~]# touch /etc/issue.net

五 确保开启服务的安全性

ps -eaf | wc -l

ps -aux

ntsysv 前面有*号就是开机自动启动的服务

netstat -an 正在运行的服务

六 日志文件

通过日志查看哪些可疑的用户登录过机器

三个重要的日志文件

/var/log/wtmp 记录每个用户登陆和推出时间的永久记录.

/var/run/utmp 记录当前登陆到系统的每个用户信息.

/var/log/lastlog 每个用户最后一次登陆的信息(最新的信息)

wtmp和utmp都是二进制文件,它们要用命令来查看内容.

1,命令who,查看utmp文件当前的每个用户的信息,它默认输出包括用户名,终端类型,登陆时间及远程主机.

who /var/log/wtmp   如果指明了文件,则回显示自wtmp创建以来所有登陆的用户信息

2 命令w,查看utmp文件并显示当前系统中每个用户和它所运行的进程信息.

3 users,显示当前当前登陆的用户数量.

4 last命令,用来显示wtmp文件第一次 创建以来所有登陆过的用户.

我们也可以指明用户,[[email protected] log]# last root

5,命令ac,根据wtmp文件中每个用户进入和退出时间.(以小时计算),不用参数代表全部

1  top命令,查看有没有异常进程占用大量的CPU或者是内存资源;

2  查看less /var/log/secure文件,查看ssh日志,看是否有非法用户大量尝试ssh;

3  who命令,查看目前ssh到linux服务器的用户,是否是合法的;

4  查看在linux服务器上部署的应用是否有漏洞,有的话很容易受到攻击。

pam 相关内容后续上传

时间: 2024-10-09 09:10:46

linux 系统安全的相关文章

查看Linux系统版本信息

一.查看Linux内核版本命令(两种方法): 1.cat /proc/version [[email protected]CentOS home]# cat /proc/versionLinux version 2.6.32-431.el6.x86_64 ([email protected]) (gcc version 4.4.7 20120313 (Red Hat 4.4.7-4) (GCC) ) #1 SMP Fri Nov 22 03:15:09 UTC 2013 2.uname -a [

制作SD(8G)卡Linux镜像,使得ZC706开发板可以从SD卡启动进入Linux系统

转自网络,供学习记录使用,红色部分是我实验时,这篇文章和网站稍有出入的地方. 目的:制作SD(8G)卡Linux镜像,使得ZC706开发板可以从SD卡启动进入Linux系统 在http://wiki.analog.com/resources/eval/user-guides/ad-fmcomms2-ebz/quickstart/zynq(姑且把这个链接成为链接1吧)链接中找到 图1 点击绿色字体的链接,下载镜像原始文件.这里有不同时期的版本,本说明中选择 图2 下载的原始文件为:2014_R2-

Linux系统基础.作业

要求以root用户登录系统,右击桌面打开终端,查看当前登陆Linux系统所使用的用户名 查看哪些用户在系统上工作 修改当前时间为2018年8月26号11:28 查看2015年10月份日历 使用两种方法查看ls命令的使用说明 清除屏幕 ctrl+L 使用"useradd tom"命令新建tom用户,为tom用户设置密码"123" 切换当前用户为tom 查看当前登陆Linux系统所使用的用户名

小白文科生眼中的Linux系统

我是一个正统的文科生,基本上在win的基础上长大,最开始接触的是Windows98(95虽然知道,但那时候太小了)然后是me,2000,再到XP,然后是vista,再然后就是使用量最大的7,然后是8,8.1,10,...基本上每个版本都用(玩)过,对win也可以说是有了基础的了解,13年暑假的时候,Android迅速崛起,从那个时候,刚刚知道Linux.在然后就开始疯狂的搜索Linux 的资料,那时候刚刚高中毕业,网上的资料基本都看不懂,虽然看不懂但还是找的津津有味. 记得2013年最先开始了解

老男孩教育每日一题-2017年5月11-基础知识点: linux系统中监听端口概念是什么?

1.题目 老男孩教育每日一题-2017年5月11-基础知识点:linux系统中监听端口概念是什么? 2.参考答案 监听端口的概念涉及到网络概念与TCP状态集转化概念,可能比较复杂不便理解,可以按照下图简单进行理解? 将整个服务器操作系统比喻作为一个别墅 服务器上的每一个网卡比作是别墅中每间房间 服务器网卡上配置的IP地址比喻作为房间中每个人 而房间里面人的耳朵就好比是监听的端口 当默认采用监听0.0.0.0地址时,表示房间中的每个人都竖起耳朵等待别墅外面的人呼唤当别墅外面的用户向房间1的人呼喊时

​查看Linux系统的所有配置命令

查看Linux系统的所有配置命令     1.查看主板的序列号: dmidecode | grep -i 'serial number'     2.查看CPU信息: cat /proc/cpuinfo dmesg | grep -i 'cpu' dmidecode -t processor     3.查看内存信息: cat /proc/meminfo free -m vmstat     5.查看网卡信息: dmesg | grep -i 'eth' cat /etc/sysconfig/h

Linux系统下的shutdown命令用于安全的关闭/重启计算机

Linux系统下的shutdown命令用于安全的关闭/重启计算机,它不仅可以方便的实现定时关机,还可以由用户决定关机时的相关参数.在执行shutdown命令时,系统会给每个终端(用户)发送一条屏显,提示关机操作.定时关机只需要一个简单的参数,既可以是倒计时,也可以是确切的时间. 命令格式 1 shutdown [选项] [时间] [消息] 并有如下选项: - k 不执行任何关机操作,只发出警告信息给所有用户 - r 重新启动计算机 - h 关机并彻底断电 - f 快速关机且重启动时跳过fsck

自动调整linux系统时间和时区与Internet时间同步

调整linux系统时间和时区与Internet时间同步 一.修改时区:# cp /usr/share/zoneinfo/Asia/Shanghai /etc/localtime修改为中国的东八区# vi /etc/sysconfig/clockZONE="Asia/Shanghai"UTC=falseARC=false 二.配置新的时间日期设定:# date -s 2008/05/06 时间设定:# date -s 18:40:00 查看硬件时间(BIOS的):    hwclock

Linux系统时间管理

一.时区配置 显示时区 [[email protected] ~]# date -R Mon, 19 Dec 2016 14:02:47 +0800 [[email protected] ~]# [[email protected] ~]# date +%z +0800 [[email protected] ~]# 主要就是后面的+0800,东八区 修改时区 [[email protected] ~]# vim /etc/sysconfig/clock [[email protected] ~]

VMware 中linux系统上搭载ftp服务器

本文讲述最基本vsftp搭载方法,另有yum命令快速安装另外深究 1.下载安装VMWare,安装linux系统 2.获取vsftpd安装包 安装盘的packages包里面找到所需vsftp组件,复制到linux目录下 使用命令:rpm -vih rpm文件名 安装vsftpd 3.使用su 命令进入root用户,使用adduser test,passwd test添加同户名密码 4.在windows dos 下使用ftp ip 访问linux下的ftp服务会发现无法访问ftp 这是因为Linux