linux 安全加固

最新推荐文章于 2025-05-17 15:26:48 发布
原创 最新推荐文章于 2025-05-17 15:26:48 发布 · 813 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

linux 安全简单加固:
1.关闭LKM
echo 1 >/proc/sys/kernel/modules_disabled
or
sysctl -w kernel.modules_disabled = 1
vi /etc/sysctl.conf

2.限制/dev/mem
more /boot/config-3.10.0-862.el7.x86_64 |grep  DEVMEM
设置 CONFIG_STRICT_DEVMEM=y

3.内核参数调整
3.1 开启ASLR
设置 /proc/sys/kernel/randomize_va_space 为2
kernel.randomize_va_space = 2
隐藏内核符号表,设置为1
 /proc/sys/kernel/kptr_restrict
kernel.kptr_restrict = 1
内核映射最小地址 ,启动设置为65536
/proc/sys/vm/mmap_min_addr
vm.mmap_min_addr = 65536

4.禁用NAT
echo 0 >/proc/sys/net/ipv4/ip_forward
ipv4.ip_forward = 1


5.bash 日志
设置命令 只读 history 
readonly  HISTFILE
readonly  HISTFILESIZE
readonly  HISTSIZE
readonly  HISTCMD
readonly  HISTCONTROL
readonly  HISTGNORE

history 文件添加时间戳
export HISTTIMEFORMAT='%F %T'

更改HISTFILE为其他文件:
HISTFILE=/usr/local/log/cmd

加固history 历史文件只能追加,
chattr +a .bash_history


6.禁掉系统中所有其他shell,一般包括csh,tcsh,ksh。
# chmod 750 csh
# chmod 750 tcsh
# chmod 750 ksh

7.可写目录不解析,解析目录不可写
chmod 755 目录
若为777 则修改属主为用户
chown 777 nginx.nginx 目录

日志文件目录添加禁止直行脚本
location ~* ^/data/cgisvr/log/.*\.(php|php5)$ {
deny all;
}

java 禁止解析jspx,修改conf/web.xml
<url-pattern>*.jspx<url-pattern>


7.过滤特定文件类型
server
{
    listen 88;
    server_name XXXXX;
    root /data/softs/dev_tools;
    index admin.html index.html index.html;
    autoindex on;
    charset utf-8;
    #charset gbk;
    location / {
    
     }
     location ~* \. log|class|inc|bak${
     rewrite ^ http://www.XXXXX.com permanent;
     }
}

8.设置密码失效时间
在 /etc/login.defs 中将 PASS_MAX_DAYS 参数设置为 60-180之间,如:
vi /etc/login.defs
PASS_MAX_DAYS 180
需同时执行命令设置root密码失效时间:
chage --maxdays 180 root
9.设置密码修改最小间隔时间
在 /etc/login.defs 中将 PASS_MIN_DAYS 参数设置为7-14之间,建议为7:
vi /etc/login.defs
PASS_MIN_DAYS 7
需同时执行命令为root用户设置:
chage --mindays 7 root
10.密码复杂度检查
编辑/etc/security/pwquality.conf,把minlen(密码最小长度)设置为9-32位,把minclass(至少包含小写字母、大写字母、数字、特殊字符等4类字符中等3类或4类)设置为3或4。如:
vi /etc/security/pwquality.conf
minlen=10
minclass=3
11.检查密码重用是否受限制
在/etc/pam.d/password-auth和/etc/pam.d/system-auth中password sufficient pam_unix.so 这行的末尾配置remember参数为5-24之间,原来的内容不用更改,只在末尾加了remember=5。
vi /etc/pam.d/password-auth
remember=5 
vi /etc/pam.d/system-auth

12.设置SSH空闲超时退出时间
编辑/etc/ssh/sshd_config,将 ClientAliveInterval 设置为300到900,即5-15分钟,将ClientAliveCountMax设置为0-3之间。
vi /etc/ssh/sshd_config
ClientAliveInterval 600
ClientAliveCountMax 2

驱动杂记
小气球归来的博客
08-04 669
struct file_operations中unlocked_ioctl和ioctl http://blog.chinaunix.net/uid-20543672-id-3015637.html ioctl受到大内核锁保护,unlocked_ioctl是无锁直接执行的。unlocked_ioctl优先级高于ioctl,如果存在unlocked_ioctl,则执行unlocked_ioctl,否则才执行ioctl。这个优先级的产生明显是为了过渡。 内核空间和用户空间交换数据 https://blog
Linux dma 需要物理地址的解决方案
weixin_44530868的博客
04-26 1457
Linux dma 需要物理地址的解决方案
mmap函数映射物理地址失败指针全F问题解决
aixueai的博客
05-26 6119
mmap返回-1报错失败: #define EPERM 1 /* Operation not permitted */ mmap error :1-Operation not permitted. #define EINVAL 22 /* Invalid argument */ mmap error :22-Invalid argument.
devmem 没有权限读地址
u013431396的博客
11-14 751
CONFIG_STRICT_DEVMEM
Linux操作系统内核参数调优-2
weixin_41312759的博客
03-10 2561
综上所述,Linux内核参数调优是系统管理员和运维人员必须掌握的技能之一,它不仅能够提升系统的性能,还能够提高系统的稳定性和安全性,是确保Linux系统高效运行的关键步骤。在进行调优时,应该根据具体的应用场景和需求来选择合适的参数进行优化,并且需要在调优后进行充分的测试,以确保调优效果达到预期目标。此外,调优过程中应该谨慎操作,避免过度调优导致系统不稳定。在调优之前,建议先进行基线测试,了解系统在默认配置下的性能表现,然后再根据测试结果逐步调整参数,并持续监控系统的表现,以确保调优措施能够带来预期的效果。
/dev/mem可没那么简单
码农-做一个勤奋的人
04-27 1689
这几天研究了下/dev/mem,发现功能很神奇,通过mmap可以将物理地址映射到用户空间的虚拟地址上,在用户空间完成对设备寄存器的操作,于是上网搜了一些/dev/mem的资料。网上的说法也很统一,/dev/mem是物理内存的全映像,可以用来访问物理内存,一般用法是open("/dev/mem",O_RDWR|O_SYNC),接着就可以用mmap来访问物理内存以及外设的IO资源,这就是实现用户空间驱...
RK3588开启IO指令支持
we7395的博客
02-21 988
注意:开启后出现android启动时弹出一个设备内部错误窗口,但串口命令行可以正常使用,关掉这个功能后就正常,原因未知。
如何编译devmem_GitHub - gatieme/FaultInjection: 用驱动的方式窥视linux内核的实现
weixin_29774611的博客
01-14 459
MemoryFaultInjection#1配置安装##1.1目录结构|-- LICENSE|-- README.md|-- src ==== 源代码目录| |-- bugs bug目录 ==== 记录程序的所有bug| |-- engine 驱动 ==== 为应用程序和工具提供服务| |--...
/dev/mem 实现原理
liyucheng987的博客
10-19 2926
这几天研究了下/dev/mem。发现功能非常奇妙,通过mmap能够将物理地址映射到用户空间的虚拟地址上。在用户空间完毕对设备寄存器的操作,于是上网搜了一些/dev/mem的资料。 网上的说法也非常统一,/dev/mem是物理内存的全映像,能够用来訪问物理内存,一般使用方法是open("/dev/mem",O_RDWR|O_SYNC),接着就能够用mmap来訪问物理内存以及外设的IO资源,这就是实现用户空间驱动的一种方法。用户空间驱动听起来非常酷。可是对于/dev/mem,我认为没那么简单,有2个地方.
Linux系统——系统优化、安全加固
一坨小橙子的博客
02-20 951
Linux系统的系统优化和安全加固
linux proc目录和常用操作
shenhuxi_yu的专栏
11-30 5600
------------------------------------------------/proc----------------------------------------------------------------- Linux 内核提供了一种通过 /proc 文件系统,在运行时访问内核内部数据结构、改变内核设置的机制。proc文件系统是一个伪文件系统,它只存在内存当中,而不
Linux服务器安全如何加固?禁用不必要的服务与端口如何操作?
最新发布
2409_89014517的博客
05-17 823
Linux服务器安全如何加固?禁用不必要的服务与端口如何操作?
mmap内存映射/dev/mem到用户空间
cjsycyl的专栏
10-18 3913
http://blog.sina.com.cn/s/blog_6f5b220601012xbc.html 内核(驱动)里_get_fre_pages()申请物理页面,返回物理首地址X,  用户空间mmap文件/dem/mem的偏移X处到自己进程空间,对其操作  /dev/mem是系统物理内存镜像文件,文件偏移X即内存的偏移X  2.内核(驱动)向设备文件比如/dev/vid
android手机内核提取及逆向分析
zpq_win的专栏
01-26 4458
技术背景: Android手机获得Root权限,其实就是让/system和/data分区获得读写的权限.这两个分区的权限配置,一般在根分区的init.rc文件中,修改这个文件可永久获得root权限. 众所周知,市面上绝大部分的Android手机文件系统有三个分区,分别是/,/system,/data.根分区(/)是打包为ramdisk.img后,再与kernel的zImage打包为boot.i
kernel panic handle
菩提本無樹
09-19 1386
轉載自 https://szlin.me/2016/05/12/linux-kernel-%E5%B0%8D%E6%96%BC%E7%B3%BB%E7%B5%B1%E7%99%BC%E7%94%9Fkernel-panic-%E8%87%AA%E5%8B%95%E9%87%8D%E5%95%9F%E4%B9%8B%E5%8E%9F%E7%90%86/   轉載自 http://oenhan.c...
进程管理和shell脚本编程进阶
qq_42227818的博客
04-01 609
1、列举常见的内核参数以及参数的意义 2、通过/proc查看top中展示的进程状态 3、分别用while、for循环检测10.0.0.1/24网段存活的IP地址 4、initrd的作用 列举常见的内核参数以及参数的意义 通过/proc查看top中展示的进程状态 分别用while、for循环检测10.0.0.1/24网段存活的IP地址 initrd的作用 ...
Linux】深入解析Linux proc文件系统
热门推荐
Making Life Better. Making Others Better.
06-03 1万+
Linux上,proc是一个伪文件系统,提供了访问内核数据的方法,一般挂载在“/proc”目录,其中的大部分内容是只读的,挂载(mount)信息可能为:proc on /proc type proc (rw,nosuid,nodev,noexec,relatime)proc文件系统支持如下挂载选项:hidepid=_n gid=_gid_n设置访问“/proc/[pid]”目录的权限,可以取值为0
/proc/sys/kernel/文档(三)
运维狗的备忘录
02-14 3747
文章目录perf_event_paranoid参考文档 perf_event_paranoid 控制非特权用户对性能事件系统的使用(无CAP_SYS_ADMIN)。预设值为2。 -1 允许所有用户使用(几乎)所有事件 在没有CAP_IPC_LOCK的情况下,忽略perf_event_mlock_kb之后的mlock限制 = 0 没有CAP_SYS_ADMIN的用户不允许ftrac...
虚拟地址如何访问到物理地址
sydyh43的博客
06-26 5054
环境:32bit CPU 一、通过二级页表映射的方式访问物理地址 1、取一级页表的基地址Abase1 2、取虚拟地址的前12bit[31:20]地址O1 3、计算得到新地址Apgd=(Abase1&0xFFFFF000)+O1,此地址是PGD页表上的地址,取此地址中的数据Abase2 4、取虚拟地址的中间8bit[19:12]地址O2 5、计算得到新地址Apte=(Abase2&0xFFFFFF00)+O2,此地址是PTE页表上的地址,取此地址中的数据Abase3 6、取虚拟地址的后12b
Linux安全加固
03-25
首先,引用[1]提到《LINUX安全加固手册》是一个重要的资源,可以作为指导。引用[4]也提到了Linux系统安全加固的一些具体措施,比如修改SSH配置和密码策略。引用[3]给出了修改SSH端口和重启服务的具体命令,这是一个...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值