Linux 系统安全加固

1,变更默认的ssh服务端口,禁止root用户远程连接

[[email protected] ~]# cp /etc/ssh/sshd_config /etc/ssh/sshd_config.bak
[[email protected] ~]# vim /etc/ssh/sshd_config
Port 10022    #ssh连接默认的端口
PermitRootLogin no   #root用户黑客都知道,禁止它远程登录
[[email protected] ~]# /etc/init.d/sshd reload    #从新加载配置
[[email protected] ~]# netstat -lnt     #查看端口信息
[[email protected] ~]# lsof -i tcp:10022

或者直接修改用如下命令:

cp /etc/ssh/sshd_config /etc/ssh/sshd_config.bak
sed -i "s/#PermitRootLogin yes/PermitRootLogin no/" /etc/ssh/sshd_config
sed -i "s/#Port 22/Port 10022/" /etc/ssh/sshd_config

注:这样做的目的是防止root用户暴力破解,22端口为ssh默认的端口,建议使用其他端口

/etc/init.d/sshd reload

service sshd restart && history -c  #重启sshd服务

演示:

# ssh [email protected] 10022  这样就显示服务器拒绝了root用户登录。

2,添加普通用户并进行sudo授权管理

[[email protected] ~]# useradd cljj
[[email protected] ~]# echo "123456" | passwd --stdin cljj && history –c ##这条命令历史记录要清除
[[email protected] ~]# visudo
在root    ALL=(ALL)    ALL此行下,添加如下内容
cljj    ALL=(ALL)    ALL

演示:

[[email protected] home]$ sudo cat -n /etc/issue
[sudo] password for cljj:   #这里输入当前用户的密码,临时授予root用户权限
cljj is not in the sudoers file.  This incident will be reported.
[[email protected] home]$ sudo cat -n /etc/issue
[sudo] password for cljj: 
     1CentOS release 6.8 (Final)
     2Kernel \r on an \m
     3

注:此方式可以限制用于的权限,防止篡改系统配置文件导致系统瘫痪

3,当普通用户登录时,密码输入错误三次,系统马上把该用户锁定10分钟,root用户锁定20分钟

编辑/etc/pam.d/sshd (ssh登录)

/etc/pam.d/login (终端)

cp /etc/pam.d/sshd  /etc/pam.d/sshd.bak   #在文件末添加如下行:
auth    required    pam_tally2.so    deny=3    unlock_time=600 even_deny_root root_unlock_time=1200

各参数解释:

even_deny_root    也限制root用户;

deny           设置普通用户和root用户连续错误登陆的最大次数,超过最大次数,则锁定该用户

unlock_time        设定普通用户锁定后,多少时间后解锁,单位是秒;

root_unlock_time      设定root用户锁定后,多少时间后解锁,单位是秒;

查看登陆次数:

查看某一用户错误登陆次数:

pam_tally –-user 用户

例如,查看cljj 用户的错误登陆次数:

pam_tally –-user cljj

清空某一用户错误登陆次数:

pam_tally –-user  用户 –-reset

例如,清空 cljj 用户的错误登陆次数,

pam_tally –-user cljj –-reset

注:此方式也可以防御暴力破解用户账号

4,锁定关键文件系统

[[email protected] ~]# chattr +i /etc/passwd
[[email protected] ~]# chattr +i /etc/inittab
[[email protected] ~]# chattr +i /etc/group
[[email protected] ~]# chattr +i /etc/shadow
[[email protected] ~]# chattr +i /etc/gshadow

使用chattr命令后,为了安全我们需要将其改名

[[email protected] ~]# /bin/mv /usr/bin/chattr /usr/bin/任意名称

注:将有关用户账号密码的配置文件限制权限,也也可以有效的防止恶意篡改。

5,登出时间限制600登出时间,及HISTSIZE =10000

cp  /etc/profile /etc/profile.bak
echo export TMOUT=600 >> /etc/profile  #增加10分钟超时退出
echo export HISTTIMEFORMAT=\‘%F %T  `whoami` \‘  >> /etc/profile    #记录操作历史记录的时间
echo export HISTFILESIZE=10000 >> /etc/profile
echo export HISTSIZE=10000 >> /etc/profile
source /etc/profile

注:history命令历史可以有效的将用户的行为记录下来,一方面可以方便查找,也可以查看用户在什么时间做了哪些操作。

时间: 2024-10-29 10:47:04

Linux 系统安全加固的相关文章

linux系统安全加固基础篇1

对于强大的linux来说,我们一定程度上都会认为是她秀坚强.稳定,同时也很有魅力.更多的如何使用她,而并没有对她的安全篇有很多的涉足,抛砖引玉,简单从常用的日志审计及pam用户验证块做个实例应用. 1.操作日志审计 系统的history再一定程度上可以告诉我们都干了什么,但对于这个多用户的操作系统,从单个终端的操作日志记录方式已经不能满足对 操作命令的一个审计工作. 也许会有人提示如下: chattr +a ~/.bash_history 这种修改虽然可以避免删除.bash_history或重定

Linux系统安全加固策略(二)

一.安装和升级使用custom自定义安装,不必要的软件包尽量不装,如有必要给lilo/grub引导器加入口令限制,安装完成后使用up2date.yum或是apt(Debian)升级系统软件,有时升级内核也是必要的.编辑 /etc/sudoers 添加下面内容jinshuai ALL=NOPASSWD:ALL二.帐号安全1.一般服务器都是放在IDC机房,需要通过远程访问进行管理,要限制root的远程访问,管理员通过普通帐号远程登录,然后su到root,开发人员只使用普通帐号权限.1) 在/etc/

linux系统安全加固脚本

#!/bin/bash #备份所需要配置的文件 cp /etc/login.defs /etc/login.defs.bak cp /etc/profile /etc/profile.bak cp /etc/pam.d/common-password /etc/pam.d/common-password.bak sed -i -e '/^PASS_MAX_DAYS/'d /etc/login.defs sed -i -e '/^PASS_MIN_DAYS/'d /etc/login.defs s

Linux主机操作系统加固规范

对于企业来说,安全加固是一门必做的安全措施.主要分为:账号安全.认证授权.协议安全.审计安全.总的来说,就是4A(统一安全管理平台解决方案),账号管理.认证管理.授权管理.审计管理.用漏洞扫描工具扫描了一下自己的阿里云主机,发现很多系统问题不合格,所以列举总结了以下Linux系统安全加固的方法,仅供参考.       1.用户账号---唯一身份.       2.统一认证---你是谁.       3.授权管理---你有什么权限.       4.操作审计---你可以干什么. 以下文档规定了国内

【安全运维】linux系统加固(第二部分),经测试可行

前言 接续系统加固第一部分未完的内容,第二部分主要涉及关闭多余的服务,用户账户的安全策略,以及内核网络参数的优化等等. <修改系统默认的账户密码策略> 这是通过编辑  /etc/login.defs  文件相关内容实现的.和前面一样的道理,修改前需要备份,然后把"鸡蛋"放在多个"篮子"里: [[email protected] 桌面]# cp -p  /etc/login.defs /etc/login.defs_backup 使用 vim 文本编辑器编

OSSEC 加固linux系统详细配置

ossec官方网站http://www.ossec.net/ ossec帮助文档http://ossec-docs.readthedocs.org/en/latest/manual/index.html OSSEC是一个开源的基于主机的入侵检测系统,执行日志分析,文件完整性检查,政策监控,rootkit检测,实时报警和积极响应. 它可以运行在大多数的操作系统,包括Linux,MacOS的时,Solaris,HP-UX,AIX和Windows 最新稳定版为2.8 下载页面http://www.os

Linux系统安全需要注意的一些问题

写在前面:当你部署一台服务器,第一步不应该是部署应用,安全是才是首要任务 如果某一天当你登录服务器发现 /bin/bash –i,python -c 'import pty; pty.spawn("/bin/sh")' 等命令在服务器上出现的时候,那么恭喜你,服务器被入侵了 但是入侵者都是很聪明的,首先会执行以下命令 unset HISTORY HISTFILE HISTSAVE HISTZONE HISTORY HISTLOG; export HISTFILE=/dev/null;

linux系统优化安全加固初始化命令

linux 系统初始化命令     最近花了点时间整理了一系列的服务器系统初始化内容,包括安全加固.行为审计.攻击防护.系统优化等多个方面,相信linux系统服务器经过下面26项内容的初始化工作,在安全方面会有较大的提升.1.安装系统 centos 6x2.定制系统分区,2.1 / 分区100G:2.2.swap 2048M:2.3./data 分区,使用剩余全部可用空间.2.4.其它需求根据服务特点进行定制: 2.系统瘦身,卸载无用系统软件:(此步骤在线系统跳过)yum -y grouprem

三问:linux操作系统安全加固

三问:linux操作系统安全加固 1.为什么要进行安全加固? 安全加固的重要性不言而喻.我这里把操作系统同马斯洛需求层次做了个类比,如有不恰当之处,还请指教.同人一样,操作系统也有自己的生理需求,对于人来说生理需求无非吃喝拉撒等,而对于操作系统来说它的生理需求又是什么了?我个人认为应该是底层硬件的配置,内核的驱动,操作系统基本配置以及设备加电.那么机器加了电,读取硬件信息,驱动内核,启动操作系统后,随之而来最重要事当然是安全需求.人类的安全需求主要包括人身安全,生活稳定以及心灵上追求的安全感等,