linux系统安全加固基础篇1

对于强大的linux来说,我们一定程度上都会认为是她秀坚强、稳定,同时也很有魅力。更多的如何使用她,而并没有对她的安全篇有很多的涉足,抛砖引玉,简单从常用的日志审计及pam用户验证块做个实例应用。

1、操作日志审计

系统的history再一定程度上可以告诉我们都干了什么,但对于这个多用户的操作系统,从单个终端的操作日志记录方式已经不能满足对 操作命令的一个审计工作。

也许会有人提示如下:

chattr +a ~/.bash_history

这种修改虽然可以避免删除.bash_history或重定向到/dev/null。

(题外:ln  -sf  /dev/null ~/.bash_history)

但是对于这种情况, 异常登录的用户我不去操作 .bash_history的相关权限,直接执行histroy -c 上面的这些设置也就未果了。

下面借助 PROMPT_COMMAND 来实现操作命令及时记录。

1)、在/etc/profile追加如下:

export HISTORY_FILE=/var/log/history/userhistory.log
readonly PROMPT_COMMAND=‘{ date "+%y-%m-%d %T ##### $(who am i |awk "{print \$1\" \"\$2\" \"\$NF}")  #### $(id|awk "{print \$1}") #### $(history 1 | { read x cmd; echo "$cmd";})"; } >>$HISTORY_FILE‘

重读 source  /etc/profile即可生效.

mkdir  -p  /var/log/history/

touch   /var/log/history/userhistory.log

chmod  002 /var/log/history/userhistory.log

chattr +a  /var/log/history/userhistory.log

2)、借助logrotate实现日志切割。

#cat /etc/logrotate.d/userhistory
/var/log/history/userhistory.log {
        weekly
        notifempty
        prerotate
        /usr/bin/chattr -a /var/log/history/userhistory.log
        endscript
        postrotate
        /bin/chmod 002 /var/log/history/userhistory.log
        /usr/bin/chattr +a /var/log/history/userhistory.log
        endscript
}

具体的参数注解及 logrotate如何实现日志切割 参看

http://colynn.blog.51cto.com/5971950/1441436

2、pam用户验证(pam_tally)

因/etc/pam.d/login及 /etc/pam.d/sshd 都会include system-auth,

故直接配置system-auth, 对从 tty及终端登录均会生效,

版本5

#cat /etc/pam.d/system-auth   (注意该条目的位置)
auth        requisite     pam_tally.so  deny=5 even_deny_root_account unlock_time=300

版本6

#cat /etc/pam.d/system-auth
auth        requisite     pam_tally2.so  deny=5 even_deny_root unlock_time=300

建议:限制用户包括 root, 使用自定义环境测试后再使用。

that‘s all.

linux系统安全加固基础篇1

时间: 2024-11-04 21:16:35

linux系统安全加固基础篇1的相关文章

Linux C 程序设计多线程基础篇

   Linux C 程序设计多线程基础篇 题记:因为 Linux 网络入侵检测系统的设计与实现希望使用多线程,因此希望系统的学习一下 Linux C程序设计多线程的知识 注意事项:因为 pthraed 库不是 Linux 系统默认的库,因此在进行多线程开发的时候,需要加上头文件#include <pthread.h>,编译时要加参数 -lpthread;了:gcc thread.c -o thread -lpthread. 进程和线程: 进程是程序执行,资源分配的基本单位,每个进程都拥有自己

61 &nbsp; Linux系统调优基础

01 Linux系统调优基础 #显示进行在哪个cpu上运行 [[email protected] ~]# ps axo psr,     2 ntpd   1 qpidd   3 pickup   3 sshd   0 bash   2 pscomm     #显示进行在哪个cpu上运行,并显示进程的pid  [[email protected] ~]# ps axo psr,comm,pid   2 ntpd             3775   1 qpidd            9998

Linux系统自动化安装基础

Linux系统自动化安装基础 安装程序CentOS系统安装系统启动流程:bootloader-->kernel(initramfs)-->rootfs-->/sbin/init注意:安装过程中与启动过程中的文件不同 anaconda系统安装程序tui: 基于图形库curses的文本窗口gui:图形窗口 安装程序启动过程MBR: boot.catstage2: isolinux/isolinux.bin配置文件: isolinux/isolinux.cfg每个对应的菜单选项:加载内核: i

Linux系统排查1——内存篇

常见工作中,计算机系统的资源主要包括CPU,内存,硬盘以及网络,过度使用这些资源将使系统陷入困境.本系列一共四篇博文,结合我在实习期间的学习,介绍一些常见的Linux系统排障工具及方法. 第1篇——内存篇 第2篇——CPU篇 第3篇——磁盘I/O篇 第4篇——网络篇 事实上,当上述服务器系统资源中的任何一个遭遇瓶颈,都会带来服务器性能的下降,典型的症状就是系统运行迟缓. 本文从以下几个角度介绍Linux系统内存相关的排查. 1. 内存的使用率如何查看,使用率真的很高吗 2. 内存用在哪里了 3.

Linux系统简介&amp;分区&amp;基础命令(ADMIN01-1)

讲师牛犇课程介绍:ADMIN 管理员技术7天Engineer 工程师技术6天Services 系统&服务进阶7天 ADMIN课程安排:1.Linux系统简介 安装RHEL7系统.RHEL7基本操作2.教学环境介绍.命令行基础.目录和文件管理3.配置网络.软件包管理.文本/文件查找4.NTP时间同步.tar备份与恢复.管理用户和组.cron计划任务5.权限和归属.使用LDAP认证.家目录漫游6.分区规划及使用.LVM逻辑卷.管理交换空间7.综合串讲.综合练习 一.基础知识 UNIX诞生时间1970

Linux 系统的网络基础_【all】

网络基础 1.网线:568B: 白橙 橙色 白绿 蓝色 白蓝 绿色 白棕 棕色 2.交换机:电信号转发的网络设备,它可以为接入交换机的任2个网络节点设备提供电信号通信 3.路由器:连接局域网,广域网的设备,它会根据信道的情况自动选择和设定路由.类似交通警察 4.OSI的7层模型:物理层 数据链路层 网络层 传输层 会话层 表示层 应用层 5.协议: HTTP(应用层),TCP/IP协议(传输层) TCP/IP的3此握手和4次挥手 TCP/IP的五层结构图:物理层.数据链路层.网络层.运输层,应用

Linux成长之路-基础篇(1)

一.计算机组成及功能1.计算机的组成计算机组成指的是系统结构的逻辑实现,包括机器机内的数据流和控制流的 组成及逻辑设计等.主要分为五个部分:控制器,运算器,存储器,输入设备,输出设备.2.各组成部分的功能(1)运算器:运算器的主要功能是对数据进行各种运算.这些运算除了常规的加.减.乘.除等基本的算术运算之外,还包括能进行"逻辑判断"的逻辑处理能力,即"与"."或"."非"这样的基本逻辑运算以及数据的比较.移位等操作.(2)控制

Linux Shell学习之基础篇

在学习Linux和OpenStack过程中,感觉不管是大规模部署部署还是运维,Shell脚本都已经是标配,所以学好脚本很有必要. 以下仅为Linux Shell的一些基础笔记,这里作为笔记记下. ===============linux shell简介====================== 1.命令补全:连续按两次Tab   文件或者文件夹补全:一次Tab   命令帮助:--help 2.chmod u=rwx,g+w,o+r filename   chown root.root file

Linux系统——网络的基础配置和排错

在linux系统中,网络的配置有三种,一种是直接在终端上用命令行实现,另一种方式是修改配置文件实现,还有一种方式是setup文本模式界面设置. 不同之处在于,修改配置文件之后如果不更改它就永久生效(必须重启服务,这个方式同setup文本模式设置),但用命令是及时生效但是重启后就失效的. 一.修改配置文件 在Linux系统中,无论是接入互联网还是局域网首先必须得要对网卡进行配置,网卡的配置文件默认路径在/etc/sysconfig/network-scripts这个目录下,默认有两块网卡,一块物理