linux系统加固

最新推荐文章于 2024-07-12 15:04:31 发布
原创 最新推荐文章于 2024-07-12 15:04:31 发布 · 1k 阅读 · 4 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#系统加固

系统加固步骤:


1、   修改前备份配置文件:/etc/login.defs                  

          cp  -r /etc/login.defs/etc/login.defs.bak                                      

2、 编辑配置文件:vi /etc/login.defs,修改如下配置:

PASS_MAX_DAYS   90 (用户的密码不过期最多的天数)

PASS_MIN_DAYS   0 (密码修改之间最小的天数)

PASS_MIN_LEN    8 (密码最小长度)

PASS_WARN_AGE   7  (口令失效前多少天开始通知用户更改密码)

3、 回退操作  

      cp  -r /etc/login.defs.bak /etc/login.defs

 

二、锁定或删除系统中与服务运行,运维无关的的用户  

    1  锁定不使用的账户

           Usermod  -L  用户

     2、回退操作

         usermod -U username

三、禁止root用户远程登录

     1、修改前备份ssh配置文件/etc/ssh/sshd_conf

          cp -r /etc/ssh/sshd_config/etc/ssh/sshd_config.bak

     2、修改ssh服务配置文件不允许root用户远程登录

          编辑/etc/ssh/sshd_config找到“#PermitRootLogin yes”去掉注释并修改为“PermitRootLoginno”或者使用sed修改,修改命令为:

      sed -i "s@#PermitRootLoginyes@PermitRootLogin no@g" /etc/ssh/sshd_config

3、 修改完成后重启ssh服务

        service sshd restart

四、设置远程ssh登录超时时间

      1、修改前备份ssh服务配置文件/etc/ssh/sshd_config

          cp -r /etc/ssh/sshd_conf/etc/ssh/sshd_conf.bak

      2、设置远程ssh登录长时间不操作退出登录

          编辑/etc/ssh/sshd_conf”#ClientAliveInterval 0”修改为”ClientAliveInterval180”,将”#ClientAliveCountMax 3”去掉注释,或执行如下命令:

       sed -i "s@#ClientAliveInterval0@ClientAliveInterval 180@g" /etc/ssh/sshd_config

sed -i "s@#ClientAliveCountMax3@ClientAliveCountMax 3@g" /etc/ssh/sshd_config 

3、 配置完成后保存并重启ssh服务

     servicesshd restart

五、设置当用户连续登录失败三次,锁定用户30分钟

     1、配置前备份配置文件/etc/pam.d/sshd

         cp -r /etc/pam.d/sshd/etc/pam.d/sshd.bak

     2、设置当用户连续输入密码三次时,锁定该用户30分钟

         修改配置文件/etc/pam.d/sshd,在配置文件的第二行添加内容:

           auth       required     pam_tally2.so deny=3  unlock_time=300

  3、若修改配置文件出现错误,回退即可,回退操作:

          cp -r /etc/pam.d/sshd.bak/etc/pam.d/sshd

六、设置用户不能使用最近三次使用过的密码

     1、配置前备份配置文件/etc/pam.d/system-auth

        cp -r /etc/pam.d/system-auth  /etc/pam.d/system-auth.bak

     2、配置用户不能使用最近三次使用的密码

         修改配置文件/etc/pam.d/system-auth,找到行”password    sufficient    pam_unix.so sha512 shadow nulloktry_first_pass use_authtok”,在最后加入remember=3

3、 回退操作

       cp -r /etc/pam.d/system-auth.bak  /etc/pam.d/system-auth

七、禁用“CTRL+ALT+DEL”重启系统

     1、禁用“ctrl+alt+del”键重启系统

         修改配置文件“/etc/init/control-alt-delete.conf”,注释掉行“start on control-alt-delete ”。或用sed命令修改:

      sed -i "s@start oncontrol-alt-delete@#start on control-alt-delete@g"/etc/init/control-alt-delete.conf

      2、使修改的配置生效     init q

      3、回退操作

将修改配置文件“/etc/init/control-alt-delete.conf”“start on control-alt-delete ”这一行加#号;

 

一. Linux主机系统加固
m0_64338210的博客
12-07 1338
1. 账号和口令 禁用或删除无用账号 减少系统无用账号,降低安全风险。 操作步骤 1.cat /etc/shadow 查看有多少账户 2.使用命令 userdel <用户名> 删除不必要的账号。 3.使用命令 passwd -l <用户名> 锁定不必要的账号。 4.使用命令 passwd -u <用户名> 解锁必要的账号。 检查特殊账号 检查是否存在空口令和root权限的账号。 操作步骤 查看空口令和root权限账号,确认...
linux加固
weixin_30414155的博客
12-05 350
1. 账号和口令 1.1 禁用或删除无用账号 减少系统无用账号,降低安全风险。 操作步骤 使用命令userdel <用户名>删除不必要的账号。 使用命令passwd -l <用户名>锁定不必要的账号。 使用命令passwd -u <用户名>解锁必要的账号。 1.2 检查特殊账号 检查是否存在空口令和root权限的账号。 操作...
Linux系统安全加固(一)
weixin_34308389的博客
04-29 316
Linux系统安全加固(一)     去年8月,某所网站遭******瘫痪虽然港交所随后及时启用备用系统,但还是致使7支股票1支债卷被迫停牌,次日再次遭受***而瘫痪;在去年年底继优快云信息安全出现之后,网上更是传出包括人人网等多家公司的用户被公开,日益凸显的网络安全事件说明了目前基础网络还面临着诸多威胁,***僵尸网络终端恶意软件, 跨境化网络***都是直接威胁。因此,确保系统安全变得尤为重...
Linux 系统的安全加固
wu瞌睡虫
05-02 3933
文章目录 系列文章目录 前言 一、pandas是什么? 二、使用步骤 1.引入库 2.读入数据 总结 前言 一、Linux为什么需要加固Linux操作系统是一个通俗且被混淆的说法,它应该是GNU/Linux。我们不是咬文嚼字,因为这和它的稳定及安全性有重大关系。 二、开源软件与Linux Kernel GNU/Linux 是GNU(通用公共许可证(GPL))软件与Linux Kernel 的统称。由于 Linux 实际是一个操作系统的核心( Kernel )而不是一
LINUX系统加固.docx
06-24
Linux系统加固是一个重要的过程,旨在提高系统的安全性,防止未授权访问和恶意攻击。根据《可信计算机评估标准》(TCSEC)或"桔皮书",Linux系统的安全级别通常需要达到B2级别,即"结构化安全保护"。这一级别要求有...
Linux系统加固规范模板.doc
最新发布
06-30
Linux系统加固是针对Linux操作系统安全性能提升的重要措施,它涉及一系列策略和技术的实施,以减少安全漏洞,防止未授权访问和潜在的攻击。本文档以山东省计算中心2025年6月的模板为例,详细阐述了Linux系统加固的多...
Linux系统加固.pdf
08-23
Linux系统加固是信息安全领域中的一项重要工作,旨在提升Linux系统的安全性,以抵御外部威胁和内部误操作的风险。文档中提到的内容重点介绍了如何通过系统密码策略、账号管理、umask值的设置、禁用root账号的SSH远程...
Linux系统安全加固
Yian123456的博客
06-20 1670
IPTables是Linux系统用于定义防火墙规则的工具,他是由两部分组成的,一个是IPTables,另一个是netfilter,主要工作在网络层,针对IP数据包。
Linux系统加固
m0_65096687的博客
06-18 1235
Linux系统加固要从三个方面来考虑。
LINUX系统加固
无远弗届
03-02 504
今天学习了阿里云大学的《Linux系统Web应用安全加固》课程,将记录的笔记整理如下,以供后续学习。 下图是思维导图,具体见https://mubu.com/doc/yK1kL497O0 ...
Linux操作系统加固
weixin_43507410的博客
01-29 595
本文旨在指导系统管理人员或安全检查人员进行Linux操作系统的安全合规性检查和加固。 1. 账号和口令 1.1 禁用或删除无用账号 减少系统无用账号,降低安全风险。 操作步骤 使用命令 userdel <用户名> 删除不必要的账号。使用命令 passwd -l <用户名> 锁定不必要的账号。使用命令 passwd -u <用户名> 解锁必要的账号。1.2 检查特殊账号 检查是否存在空口令和root权限的账号。 操作步骤 查看空口令和root权限账号,确认是否存在异常账号:
linux系统安全加固
ting_liang的博客
07-12 1682
执行命令:ls -l /etc/passwd /etc/shadow /etc/group /etc/gshadow /etc/hosts.allow/etc/hosts.allow /etc/services /etc/ssh/sshd_config 查看文件权限。4、执行命令:vi/etc/rsyslog.conf 查看authpriv值 将其设置为 authpriv.*/var/log/secure#将 authpirv 的任何级别的信息记录到 /var/log/secure 文件中。
Linux系统加固图解
01-02
### Linux 系统加固图解教程 #### 准备工作 在开始Linux系统加固之前,确保已经完成基本的安装并拥有管理员权限。这一步骤对于后续的安全设置至关重要[^1]。 #### 更新现有系统 为了保证系统的安全性,在进行任何更改前应当先进行全面更新。通过命令行执行如下操作来获取最新的补丁和支持: ```bash sudo apt update && sudo apt upgrade -y ``` 上述命令适用于基于Debian/Ubuntu 的发行版;其他版本可能需要调整相应的包管理器指令。 #### 关闭不必要的服务 减少攻击面的一个有效方法是关闭那些不使用的守护进程和服务。可以利用`systemctl`工具查看当前活动的服务列表,并停用不需要启动项: ```bash sudo systemctl list-units --type=service --state=running sudo systemctl disable <serviceName> ``` 这里 `<serviceName>` 需要替换为实际想要禁用的具体服务名称。 #### 安全配置SSH访问 远程登录通常依赖于SSH协议,默认情况下它允许root账户直接登陆,这是潜在的风险之一。编辑 `/etc/ssh/sshd_config` 文件修改相关参数以增强安全性: - 将 `PermitRootLogin yes` 改成 `no` - 修改默认端口号(例如改为22以外) - 启用公钥认证而非密码验证 完成后记得重启 SSH 服务使改动生效: ```bash sudo service ssh restart ``` 这些措施有助于防止暴力破解尝试和其他形式的未授权访问行为。 #### 设置防火墙规则 使用UFW (Uncomplicated Firewall) 或者 iptables 来定义入站流量过滤策略。简单来说就是只开放必要的端口而阻止其余连接请求。下面是一个启用 UFW 并仅允许 HTTP(S), SSH 访问的例子: ```bash sudo ufw allow OpenSSH sudo ufw allow 'Nginx Full' sudo ufw enable ``` 以上命令假设服务器上运行着 Nginx Web Server 和 OpenSSH server 。根据实际情况调整所涉及的应用程序及其对应的端口范围。 #### 应用 SELinux/AppArmor 强制访问控制机制 如果希望进一步提高文件和应用程序级别的保护力度,则可考虑开启SELinux(Apple Armor作为替代方案),这是一种强制性的访问控制系统(MAC),能够更精细地限制主体对客体资源的操作权限。具体实施细节取决于目标平台的选择以及业务需求分析结果。
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值