linux 安全加固

最新推荐文章于 2025-06-03 14:30:07 发布
最新推荐文章于 2025-06-03 14:30:07 发布
阅读量720 收藏
点赞数
CC 4.0 BY-SA版权
分类专栏: linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/handsome_wl/article/details/100699364

linux 安全简单加固:
1.关闭LKM
echo 1 >/proc/sys/kernel/modules_disabled
or
sysctl -w kernel.modules_disabled = 1
vi /etc/sysctl.conf

2.限制/dev/mem
more /boot/config-3.10.0-862.el7.x86_64 |grep  DEVMEM
设置 CONFIG_STRICT_DEVMEM=y

3.内核参数调整
3.1 开启ASLR
设置 /proc/sys/kernel/randomize_va_space 为2
kernel.randomize_va_space = 2
隐藏内核符号表,设置为1
 /proc/sys/kernel/kptr_restrict
kernel.kptr_restrict = 1
内核映射最小地址 ,启动设置为65536
/proc/sys/vm/mmap_min_addr
vm.mmap_min_addr = 65536

4.禁用NAT
echo 0 >/proc/sys/net/ipv4/ip_forward
ipv4.ip_forward = 1


5.bash 日志
设置命令 只读 history 
readonly  HISTFILE
readonly  HISTFILESIZE
readonly  HISTSIZE
readonly  HISTCMD
readonly  HISTCONTROL
readonly  HISTGNORE

history 文件添加时间戳
export HISTTIMEFORMAT='%F %T'

更改HISTFILE为其他文件:
HISTFILE=/usr/local/log/cmd

加固history 历史文件只能追加,
chattr +a .bash_history


6.禁掉系统中所有其他shell,一般包括csh,tcsh,ksh。
# chmod 750 csh
# chmod 750 tcsh
# chmod 750 ksh

7.可写目录不解析,解析目录不可写
chmod 755 目录
若为777 则修改属主为用户
chown 777 nginx.nginx 目录

日志文件目录添加禁止直行脚本
location ~* ^/data/cgisvr/log/.*\.(php|php5)$ {
deny all;
}

java 禁止解析jspx,修改conf/web.xml
<url-pattern>*.jspx<url-pattern>


7.过滤特定文件类型
server
{
    listen 88;
    server_name XXXXX;
    root /data/softs/dev_tools;
    index admin.html index.html index.html;
    autoindex on;
    charset utf-8;
    #charset gbk;
    location / {
    
     }
     location ~* \. log|class|inc|bak${
     rewrite ^ http://www.XXXXX.com permanent;
     }
}

8.设置密码失效时间
在 /etc/login.defs 中将 PASS_MAX_DAYS 参数设置为 60-180之间,如:
vi /etc/login.defs
PASS_MAX_DAYS 180
需同时执行命令设置root密码失效时间:
chage --maxdays 180 root
9.设置密码修改最小间隔时间
在 /etc/login.defs 中将 PASS_MIN_DAYS 参数设置为7-14之间,建议为7:
vi /etc/login.defs
PASS_MIN_DAYS 7
需同时执行命令为root用户设置:
chage --mindays 7 root
10.密码复杂度检查
编辑/etc/security/pwquality.conf,把minlen(密码最小长度)设置为9-32位,把minclass(至少包含小写字母、大写字母、数字、特殊字符等4类字符中等3类或4类)设置为3或4。如:
vi /etc/security/pwquality.conf
minlen=10
minclass=3
11.检查密码重用是否受限制
在/etc/pam.d/password-auth和/etc/pam.d/system-auth中password sufficient pam_unix.so 这行的末尾配置remember参数为5-24之间,原来的内容不用更改,只在末尾加了remember=5。
vi /etc/pam.d/password-auth
remember=5 
vi /etc/pam.d/system-auth

12.设置SSH空闲超时退出时间
编辑/etc/ssh/sshd_config,将 ClientAliveInterval 设置为300到900,即5-15分钟,将ClientAliveCountMax设置为0-3之间。
vi /etc/ssh/sshd_config
ClientAliveInterval 600
ClientAliveCountMax 2

如何编译devmem_GitHub - gatieme/FaultInjection: 用驱动的方式窥视linux内核的实现
weixin_29774611的博客
01-14 405
MemoryFaultInjection#1配置安装##1.1目录结构|-- LICENSE|-- README.md|-- src ==== 源代码目录| |-- bugs bug目录 ==== 记录程序的所有bug| |-- engine 驱动 ==== 为应用程序和工具提供服务| |--...
驱动杂记
小气球归来的博客
08-04 618
struct file_operations中unlocked_ioctl和ioctl http://blog.chinaunix.net/uid-20543672-id-3015637.html ioctl受到大内核锁保护,unlocked_ioctl是无锁直接执行的。unlocked_ioctl优先级高于ioctl,如果存在unlocked_ioctl,则执行unlocked_ioctl,否则才执行ioctl。这个优先级的产生明显是为了过渡。 内核空间和用户空间交换数据 https://blog
Linux dma 需要物理地址的解决方案
weixin_44530868的博客
04-26 1301
Linux dma 需要物理地址的解决方案
linux安全加固(非常详细)
最新发布
主宰
06-03 1430
安全加固方案原则。
mmap函数映射物理地址失败指针全F问题解决
aixueai的博客
05-26 5731
mmap返回-1报错失败: #define EPERM 1 /* Operation not permitted */ mmap error :1-Operation not permitted. #define EINVAL 22 /* Invalid argument */ mmap error :22-Invalid argument.
devmem 没有权限读地址
u013431396的博客
11-14 712
CONFIG_STRICT_DEVMEM
Linux操作系统内核参数调优-2
weixin_41312759的博客
03-10 2430
综上所述,Linux内核参数调优是系统管理员和运维人员必须掌握的技能之一,它不仅能够提升系统的性能,还能够提高系统的稳定性和安全性,是确保Linux系统高效运行的关键步骤。在进行调优时,应该根据具体的应用场景和需求来选择合适的参数进行优化,并且需要在调优后进行充分的测试,以确保调优效果达到预期目标。此外,调优过程中应该谨慎操作,避免过度调优导致系统不稳定。在调优之前,建议先进行基线测试,了解系统在默认配置下的性能表现,然后再根据测试结果逐步调整参数,并持续监控系统的表现,以确保调优措施能够带来预期的效果。
linux安全加固方案.pdf
03-15
### Linux安全加固方案详解 #### 一、严格按照用户类型分配账号 在Linux系统中,合理的用户管理至关重要。根据用户的工作性质、职责范围等条件来分配不同的用户类型,并确保每个用户只具备完成其工作所需的最低权限...
LINUX安全加固手册.pdf
09-29
"LINUX安全加固手册" LINUX操作系统的安全加固是一项复杂的任务,需要从多方面入手,涵盖了密码安全策略、用户帐号安全、网络服务安全等多个方面。以下是LINUX安全加固手册中的一些关键知识点: 一、概述 LINUX...
linux安全加固加固
06-28
### Linux安全加固详解 在日常运维工作中,对Linux系统的安全加固是确保服务器稳定性和数据安全的重要环节。本文将根据提供的信息,深入解析Linux系统安全加固的相关知识点,包括但不限于登录审计、进程监控、文件...
Linux安全加固操作手册
12-28
"Linux 安全加固操作手册" 本文档将详细介绍 Linux 操作系统的安全加固操作手册,涵盖身份鉴别、用户口令安全、口令生存期限制、账号锁定策略等多个方面。 1. 身份鉴别 Linux 操作系统中,身份鉴别是非常重要的...
### 【Linux安全加固】基于等保2.0的Linux服务器安全配置手册
05-21
其他说明:本文档不仅提供了具体的配置步骤,还解释了每项配置背后的原理,有助于读者深入理解Linux安全加固的重要性和必要性。同时,文档中提及的部分命令和工具可能因Linux发行版的不同而有所差异,因此建议读者...
CentOS复杂度设置
weixin_48085856的博客
01-29 3514
Linux系统复杂度策略主要在/etc/pam.d/文件夹下,如CentOS的/etc/pam.d/system-auth、Ubuntu的/etc/pam.d/common-password,此外CentOS还有一个/etc/security/pwquality.conf。对比/etc/pam.d/system-auth与/etc/security/pwquality.conf,两个文档都可以配置复杂度策略,但system-auth优先级高于pwquality.conf。
RK3588开启IO指令支持
we7395的博客
02-21 829
注意:开启后出现android启动时弹出一个设备内部错误窗口,但串口命令行可以正常使用,关掉这个功能后就正常,原因未知。
devmem读写物理内存
weixin_42126962的博客
11-04 8618
devmem源码很短,网上可以下载到,有devmemdevmem2两个版本 devmem源码地址:https://www.cnblogs.com/sky-heaven/p/13597581.html devmem2源码地址:http://sources.buildroot.net/devmem2.c busybox中的devmem busybox是Linux一个调试工具箱,里面包含了devmem及其他工具,可以以命令行的方式调用工具 下载及使用方法如链接及下文https://www.icode9.com/
服务器等保测评密码策略配置
weixin_43258559的博客
04-10 1174
例如,如果您希望系统记住最近的5个密码,则可以将 remember 设置为5。可以根据需要修改这些参数的值,并确保密码策略符合安全要求。修改完/etc/security/pwquality.conf后,系统会自动应用新的密码策略。修改完/etc/security/pwquality.conf后,系统会自动应用新的密码策略。例如,如果您希望系统记住最近的5个密码,则可以将 remember 设置为5。在 pam_unix.so 行中添加 remember 选项,并指定您要记住的密码数量。
等保三级 Linux服务器防御加固
qq_41867674的博客
05-21 547
【代码】等保三级 Linux服务器检测。
linux proc目录和常用操作
shenhuxi_yu的专栏
11-30 5573
------------------------------------------------/proc----------------------------------------------------------------- Linux 内核提供了一种通过 /proc 文件系统,在运行时访问内核内部数据结构、改变内核设置的机制。proc文件系统是一个伪文件系统,它只存在内存当中,而不
mmap内存映射/dev/mem到用户空间
cjsycyl的专栏
10-18 3871
http://blog.sina.com.cn/s/blog_6f5b220601012xbc.html 内核(驱动)里_get_fre_pages()申请物理页面,返回物理首地址X,  用户空间mmap文件/dem/mem的偏移X处到自己进程空间,对其操作  /dev/mem是系统物理内存镜像文件,文件偏移X即内存的偏移X  2.内核(驱动)向设备文件比如/dev/vid
Linux安全加固
03-25
<think>好的,用户想了解如何对Linux系统进行安全加固的最佳实践。首先,我需要根据提供的引用内容来整理相关信息,并确保回答结构清晰,符合用户的要求。 首先,引用[1]提到《LINUX安全加固手册》是一个重要的资源,可以作为指导。引用[4]也提到了Linux系统安全加固的一些具体措施,比如修改SSH配置和密码策略。引用[3]给出了修改SSH端口和重启服务的具体命令,这是一个常见的安全措施。引用[2]则提到编译程序时优化安全性的注意事项,虽然这可能和系统加固关系不大,但可以提到软件源的安全管理。 接下来,我需要将这些信息组织成逻辑清晰的步骤。通常,系统加固包括最小化安装、更新系统、配置安全服务、权限管理、审计日志等方面。用户可能需要分步骤的指导,每个步骤有具体的操作和解释,同时引用相关的引用内容来支持。 比如,在“服务最小化原则”部分,可以提到关闭不必要的服务和端口,并引用[3]中的SSH配置修改例子。在“账户与权限管理”中,可以引用[4]中关于密码策略的内容。在“系统更新与补丁管理”部分,强调定期更新,可能引用[1]中的手册作为参考资源。 另外,用户可能还关心防火墙配置、文件系统安全、SELinux/AppArmor的使用等,这些也是常见的加固措施。需要确保每个部分都有具体的命令或配置示例,帮助用户实际操作。同时,生成的相关问题需要围绕用户可能进一步想了解的内容,比如具体某个加固措施的细节、自动化工具,或者如何应对特定威胁。 最后,检查是否符合格式要求:使用中文回答,行内公式用$...$(虽然这个问题可能不涉及数学公式,但需要注意),独立公式单独成段(同样可能不适用),正确引用标记。确保没有使用Markdown格式,段落用空行分隔,代码块用三个反引号包裹。</think>Linux 系统安全加固最佳实践可分为以下核心步骤: ### 一、服务最小化原则 1. **关闭非必要服务** 通过`systemctl disable <服务名>`关闭未使用的服务(如telnet、ftp),降低攻击面 2. **SSH安全配置** 修改默认端口并限制root登录(引用[3]示例): ```bash Port 17382 # 替换默认22端口 PermitRootLogin no # 禁止root直接登录 ``` 建议配合密钥认证,执行`service sshd restart`生效 ### 二、账户与权限管理 1. **密码策略强化** 修改`/etc/login.defs`设置密码有效期(引用[4]): ``` PASS_MAX_DAYS 90 PASS_MIN_DAYS 7 ``` 安装`libpam-pwquality`实现复杂度检查 2. **权限分离** 创建普通用户并配置sudo权限,禁用空密码账户 ### 三、系统更新与补丁管理 - 定期执行`yum update`或`apt-get upgrade`更新系统 - 启用自动安全更新:`unattended-upgrades`(Debian系) - 参考《LINUX安全加固手册》建立更新策略(引用[1]) ### 四、防火墙配置 ```bash # 启用firewalld/ufw firewall-cmd --permanent --add-port=17382/tcp # 放行SSH新端口 firewall-cmd --reload ``` ### 五、文件系统安全 1. 挂载选项添加`nosuid,noexec` 2. 设置关键目录权限: ```bash chmod 700 /root chmod 644 /etc/passwd ``` ### 六、安全增强工具 1. 启用SELinux/AppArmor 2. 安装审计工具: ```bash auditctl -w /etc/passwd -p wa # 监控密码文件变更 ``` ### 七、日志监控 配置`rsyslog`集中管理日志,安装入侵检测系统(如AIDE)定期扫描系统完整性
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值