服务器加固

一、信息安全防护的目标

保密性,Confidentiality

完整性,Integrity

可用性,Usability

可控制性,Controlability

不可否认性,Non-repudiation

二、安全防护环节

物理安全:各种设备/主机、机房环境

系统安全:主机或设备的操作系统

应用安全:各种网络服务、应用程序

网络安全:对网络访问的控制、防火墙规则

数据安全:信息的备份与恢复、加密解密

管理安全:各种保障性的规范、流程、方法

三、LINUX系统加固

1、阻止普通用户关机

测试

2、设置fanlj用户密码各个时间:

查看默认fanlj账户的时间信息

指定fanlj账户的时间信息,-m 指定密码修改的最短时间,-M指定密码修改的最长时间,-W指定密码过期前警告的天数,-I指定密码过期后锁定账户的天数,-E密码的有效期。

3、设置fanlj下一次登陆必须改密码,注销用户。

4、帐号锁定操作,-l 为锁定用户账号,-S 查看用户账号的状态,-u解锁用户账户

usermod,-L为锁定用户账户,-U解锁用户账户

5.新建一个新的用户,时间信息需要自己定义,密码的最长修改时间设置为90天,最小修改时间为0天,长度为5位,警告时间为6天,以及UID和GID的设置。

新建一个bob用户查看是否按照以上测试

6、设置最大历史命令条目数

7.(1)分别以root和bob用户执行 ls /root有什么结果;改变ls的权限 chmod  4755  /bin/ls,再用bob执行ls /root有什么结果?为什么

chmod是Linux下设置文件权限的命令,后面的数字表示不同用户或用户组的权限。

一般是三个数字:
第一个数字表示文件所有者的权限
第二个数字表示与文件所有者同属一个用户组的其他用户的权限
第三个数字表示其它用户组的权限。

权限分为三种:读(r=4),写(w=2),执行(x=1)。综合起来还有可读可执行(rx=5=4+1)、可读可写(rw=6=4+2)、可读可写可执行(rwx=7=4+2+1)。

所以,chmod 755 设置用户的权限为:

1.文件所有者可读可写可执行
2.与文件所有者同属一个用户组的其他用户可读可执行
3.其它用户组可读可执行

chmod 4755与chmod 755 的区别在于开头多了一位,这个4表示其他用户执行文件时,具有与所有者相当的权限。

(2)执行chmod  4755  /bin/touch后,bob创建一个文件,查看文件的属主是谁,为什么会有这样的结果?

8、/etc/fstab中的defaults是挂载选项,它包含哪些选项。如果把一个目录挂载为只读文件系统?

auto: 系统自动挂载,fstab默认就是这个选项
defaults: rw, suid, dev, exec, auto, nouser, and async.
noauto 开机不自动挂载
nouser 只有超级用户可以挂载
ro 按只读权限挂载
rw 按可读可写权限挂载
user 任何用户都可以挂载
请注意光驱和软驱只有在装有介质时才可以进行挂载,因此它是noauto

9、文件加锁、解锁

把/etc/hosts变成绝对只读文件

把/etc/hosts变成只能追加内容的文件

10、允许启用哪些tty终端

只允许root从指定的几个终端登录

11、防止系统版本信息泄漏

12、禁止Ctrl+Alt+Del重启

13、grub加密码




















时间: 2024-10-19 09:17:07

服务器加固的相关文章

Linux服务器加固

一.信息安全防护的目标 *保密性,Confidentiality *完整性,Integrity 可用性,Usability 可控制性,Controlability 不可否认性,Non-repudiation 二.安全防护环节 物理安全:各种设备/主机.机房环境 系统安全:主机或设备的操作系统 应用安全:各种网络服务.应用程序 网络安全:对网络访问的控制.防火墙规则 数据安全:信息的备份与恢复.加密解密 管理安全:各种保障性的规范.流程.方法 网络&系统漏洞检测工具 X-Scan  . Fluxa

Linux有问必答:如何在Apache网站服务器上关闭服务器签名

问题:每当Apache2网站服务器返回错误页时(如,404 页面无法找到,403 禁止访问页面),它会在页面底部显示网站服务器签名(如,Apache版本号和操作系统信息).同时,当Apache2网站服务器为PHP页面服务时,它也会显示PHP的版本信息.我如何在Apache2网站服务器上关闭这些网站服务器签名呢? 透露网站服务器带有服务器/PHP版本信息的签名会带来安全隐患,因为你基本上将你系统上的已知漏洞告诉给了攻击者.因此,作为服务器加固的一个部分,强烈推荐你禁用所有网站服务器签名. 禁用Ap

linux ssh连接设置

suselinux11 ssh设置.关闭root用户连接,使用sshd用户连接.然后通过sshd用户跳转root用户. 1.设置 /etc/ssh/sshd_config #vi /etc/ssh/sshd_config port 22   (使用22的端口) ClientAliveInterval 300   (连接300s后,记录一次超时)ClientAliveCountMax 0  (如果发现客户端没有相应,则判断一次超时,这个参数设置允许超时的次数) AllowUsers sshd   

Web安全学习计划

http://cisps.org/bbs/viewtopic.php?f=71&t=26125 标题为Web安全学习计划,实属我的愿望:将下面这份Web学习清单完善成为一个Web安全,学习计划指导性帖子. 说明:本来打算给自己设计一个详细的学习计划,但是发现这些学习内容罗列出来后,发现这是个很庞大的系统,一时不知该如何来安排时间(自已把自己杯具了~~).那就暂时成了如下的一个学习清单列表.发表出来,希望看看大家的建议.想成学习计划虽为私心,但如果修改得好也是一个福利大多想学习Web安全的朋友的一

换个思路应对木马来袭

自木马程序诞生至今,己经出现了多种类型,想在这里给它们来一次完全的列举和说明是不可能的,更何况大多数的木马都不是单一功能的木马,它们往往是很多种功能的集成品----甚至有很多从本公开的功能在一些木马中也广泛地存在着. 木马的危害尽人皆知,但是其工作原理并不是每个人都知道.首先,黑客会找机会把木马安插在目标系统的角落里,那么如果不运行它的话,其永远都不会对你的电脑产生威胁.但是只要黑客通过网络远程遥控了木马程序,窃取资料甚至破坏系统就成了轻而易举的事情了.所以,查杀隐藏在你电脑角落里的木马是目前最

[持续交付实践] 安全扫描自动化测试平台实现

前言 TesterHome有人专门加了我QQ问安全测试这个话题,所以这篇准备先聊聊持续交付中的安全测试.现在信息安全已经上升到了国家战略的高度,特别是今年<中华人民共和国网络安全法>颁布后,用户隐私通过国家立法的方式被严格要求保护,另外一方面安全灰产行业风起云涌,形成了一个巨大的地下产业链条和破坏能力.在此背景下,越来越多的互联网公司也开始组建自己的安全职能部门,但也会发现很多公司的软件并没有经过专门的安全测试便运行在互联网上,它们携带着各类安全漏洞直接暴露在公众面前,其中一些漏洞甚至直指软件

Linux CentOS 使用Yum源安装MySQL 5.7

在CentOS(Fedora.RedHat)系统中,可以使用yum install mysql命令来安装MySQL,但所安装的MySql版本一般都较旧,所以更推荐通过源码编译安装或下载最新rpm安装包进行安装. 添加MySQLYum源 选择一个发行系列 使用Yum安装MySQL 启动MySQL服务器 加固MySQL安全(仅MySQL5.6适用) MySQL的Yum源提供了RPM安装包,包括MySQL服务端.客户端.及Linux平台的其它组件.这些安装包同样可以用于升级或替换第三方已安装的MySQ

为什么游戏行业一直是DDoS攻击的重灾区?

说到DDoS攻击,相信大部分互联网企业都有被攻击的经历,其中游戏行业被攻击的情况尤为严重.很多游戏刚上线没多久就被持续发起DDoS攻击,导致玩家数量和口碑急剧下降,是什么原因导致游戏行业一直是DDoS攻击的重灾区呢? 1.游戏行业攻击成本低随着DDoS攻击打法的不断"进化",基本的静态防护策略已无法应对各种各样的攻击.游戏行业对服务器的流畅度要求非常高,攻击者不需要花费大量攻击成本完全打垮服务器,只需少量成本就可以对服务器造成拥堵和延迟,导致在线玩家频繁掉线或网络高延迟,直接影响玩家体

WINDOWS服务器安全加固实战(适用于WINDOWS SERVER 2008 R2和WINDOWS SERVER 2012)

最近我们立方技术工作室在使用阿里云的过程中,发现服务器安全性也不是很高,而服务端的安全软件都很贵.为了为朋友们提供更加有效的解决方案,我们决定身体力行,高筑墙,大幅度提升服务器的安全防护级别! 主机安全 启用防火墙 阿里云windows Server 2008 R2默认居然没有启用防火墙.2012可能也是这样的,不过这个一定要检查! 补丁更新 启用windows更新服务,设置为自动更新状态,以便及时打补丁. 阿里云windows Server 2008 R2默认为自动更新状态,2012可能也是这