Linux网络安全配置

已于 2024-11-05 15:22:34 修改
阅读量2.3k 收藏 8
点赞数
分类专栏: Linux网络 安全 文章标签: 网络安全 ssh 系统加固
于 2021-09-01 00:04:57 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/omaidb/article/details/120028259
版权

Linux网络安全配置

常见入侵流程

在这里插入图片描述


总结出来四点:

  • 防火墙
  • 服务权限
  • SELinux
  • 系统权限
    在这里插入图片描述

防火墙推荐配置

在这里插入图片描述

# 设置默认允许策略
iptables -P INPUT ACCEPT

# 清空现有的所有策略
iptables -F

# 允许业务需要的端口
iptables -A INPUT -p tcp -m tcp--dport 80 -j ACCEPT

# 允许远程登陆的端口
iptables -A INPUT -s 1.1.1.1 -p tcp -m tcp--dport 22 -j ACCEPT

# 允许内网网卡全通--如果服务器有内网ip和外网ip,一般内网那张卡是全开的
iptables -A INPUT -i eth1 -j ACCEPT

# 回环会话一定要打开
iptables -A INPUT -i lo -j ACCEPT

# 安全防护措施
照抄图片就行

禁用不需要的服务

https://blog.51cto.com/dlican/3741859
在这里插入图片描述

# 安装ntsysv
yum install -y ntsysv

# 使用ntsysv管理服务自启
ntsysv

在这里插入图片描述


系统登陆安全与ssh配置

在这里插入图片描述


1. 除系统管理用户之外,应该至少再分配三个用户

普通用户
审计员
安全员帐户


2. 检查/etc/bashrc/etc/profile文件中uamsk值是否设置为027或更严格

否则添加或编辑umask参数:
umask 027

# 生效umask
source /etc/profile

3. 确保每个用户的home目录权限设置为750或者更严格

# 以数字方式显示目录权限
stat -c%a /homme/${用户名}

在这里插入图片描述


4. 授权用户登陆与sudo设定

  • 禁止root用户登陆
  • 配置普通用户 允许所有来源 所有程序都不需要密码
  • /etc/sudoers 权限必须是440

在这里插入图片描述


5. ssh安全登陆经验

https://eulixos.com/docs/2.0/SecHarden/%E7%B3%BB%E7%BB%9F%E6%9C%8D%E5%8A%A1.html#%E5%8A%A0%E5%9B%BA-ssh-%E6%9C%8D%E5%8A%A1

  • 需要默认ssh端口为4位端口(数字建议大一点)
  • ssh不使用dns反查,提高ssh连接速度
  • ssh关闭GSSAPI验证,提高ssh连接速度
  • 禁止root账号登陆
    • 登陆普通用户后使用sudo su- 完全切换到root账户
      在这里插入图片描述

6. 锁定重要系统文件

在这里插入图片描述

#!/usr/bin/env bash

## 删除内置的多余账号
function delete_redundant_account(){
# 理论上adm,lp,sync,shutdown,halt,news,uucp,operator,games,ftp,postfix,dovecot这些账号都可以删除,但是删了以后想加回去会很麻烦
redundant_user_lists=(operator
    lp
    shutdown
    halt
    games
)

for user in "${redundant_user_lists[@]}"; do
    # 这里使用-r参数可能会把/root目录给删除掉
    userdel -f "$user"
done
}

## 删除内置的多余用户组
function delete_redundant_group(){
# 可以删除的组adm,lp,mail,games,ftp,audio
redundant_group_lists=(lp
    uucp
    games
    dip
    games)

for group_name in "${redundant_group_lists[@]}"; do
    # 删除用户组
    groupdel -f "$group_name"
done
}

## 锁定重要系统文件
function Lock_important_system_files(){
# 重要系统文件列表
important_system_files=("/etc/passwd"
    "/etc/shadow"
    "/etc/group"
    "/etc/inittab"
    "/root/.ssh/authorized_keys")

# 锁定重要系统文件
for file in "${important_system_files[@]}"; do
    (ls "$file" && chattr +i "$file" && lsattr "$file") || echo "$file"文件不存在
done
}

# 清空/etc/issue,/etc/issue.net 去除系统内核版本登陆的屏幕显示
function clear_login_prompt(){
sysinfo_files=("/etc/issue"
    "/etc/issue.net")

for file in "${sysinfo_files[@]}"; do
    echo >"$file"
done
}

main() {
    # 1.删除内置的多余账号
    delete_redundant_account
    # 2.删除内置的多余用户组
    delete_redundant_group
    # 3.锁定重要系统文件
    Lock_important_system_files
    # 4.清空登录提示
    clear_login_prompt
}

main

8. 使用fail2ban防止ssh穷举爆破

https://blog.youkuaiyun.com/omaidb/article/details/120231345


自动拉黑密码错误次数多的IP

源码:https://github.com/omaidb/qiaofei_notes/blob/main/shell_code/infosec/block_ssh_error_ip.sh

 #!/bin/bash

#  本脚本适用于rhel8+iptables
# 自动拉黑ssh密码登录错误大于7次的ip

# 开启debug模式
# set -ex

function check() {
    # 初始化IP列表
    block_ip_list=""

    # 获取最近ssh密码错误登录的IP列表和次数
    failed_logins=$(journalctl _SYSTEMD_UNIT=sshd.service | grep 'Failed password' | awk '{print $(NF-3)}' | sort | uniq -c)

    # 遍历错误登录事件
    while read -r line; do
        # ssh登录错误次数 
        count=$(echo "$line" | awk '{print $1}')
        # ssh登录错误源ip
        ip=$(echo "$line" | awk '{print $2}')
        # ssh登录错误大于等于7次,就添加到黑名单IP列表中
        if [ "$count" -ge 7 ]; then
            # echo "IP $ip failed $count times. Adding to block list."
            block_ip_list="$block_ip_list $ip"
        fi
    done <<< "$failed_logins"
}

# 方法:拉黑IP
function block_ip() {
    local ip="$1"
    echo "Blocking IP: $ip"
    # 检查是否已有该IP的防火墙规则,存在则什么都不显示,不存在则报错
    if sudo iptables -C INPUT -s "$ip" -j DROP >/dev/null 2>&1; then
        # echo "IP $ip 已在被iptables封锁中。"
        :
    else
        # 将IP添加到防火墙规则中
        sudo iptables -A INPUT -s "$ip" -j DROP
        echo "拉黑$ip"
    fi
}

# 脚本退出前保存防火墙规则
function ipt_save(){
    # 退出前保存iptabels规则
    service iptables save || iptables-save > /etc/sysconfig/iptables
    echo "防火墙规则已保存"
}

# 捕获脚本退出信号
# trap 退出时绑定的函数名 EXIT
# trap cleanup EXIT
# 捕获CTRL+C信号
# trap ipt_save INT
# 捕获所有信号
trap ipt_save SIGINT SIGTERM SIGHUP

# 设置退出信号处理方式
trap ipt_save EXIT

# 设置INT信号处理方式
# 在接收到INT信号时执行exit 2命令,即以退出状态码2退出当前脚本。
trap 'exit 2' INT

main() {
    # 间隔10s无限循环检查函数
    while true; do
        # 检查ssh登录错误的恶意IP
        check
        # 循化拉黑检查到的ip
        for ip in $block_ip_list; do
            block_ip "$ip"
        done
        # 每隔10s检查一次,时间可根据需要自定义
        sleep 10
    done
}

# 执行主方法
main

yum源配置建议


1.配置第三方源

Centos7配置yum国内源(BaseOS+epel+ELRepo+SCL+IUS+REMI)


2.升级系统内核及更新软件

上线之前必须更新内核和系统补丁

https://blog.youkuaiyun.com/omaidb/article/details/127122959

在这里插入图片描述

# 清空yum缓存
yum clean all

# 生成缓存
yum makecache

# 更新内核
yum install kernel -y

# 更新系统及内核
yum upgrade

# 必备软件
yum install ntpdate wget -y

服务器定期对时

Linux经常出现每年慢5分钟的现象。
chrony时间服务
ntp时间服务

# ntp时间服务器
ntp.aliyun.com

# 用crontab计划任务对时--ntp
/usr/sbin/ntpdate ntp.aliyun.com>>/var/log/ntp.log 2>&1;/sbin/hwclock -w

Linux系统加固

参考:
https://eulixos.com/docs/2.0/SecHarden/

网络安全配置
weixin_42283438的博客
04-27 3442
​规划网络安全拓扑图:配置路由器与防火墙之间互联地址为192.168.5.2/24,在路由器OSPF中发布与防火墙互联网段。 配置防火墙与路由器互联地址为192.168.5.1/24,配置与外网通信地址为192.168.20.9/24,设置访问外网默认路由,配置内网访问外网NAT规则,保护内网地址,设置访问策略,部门1、部门2设置可以访问外网,部门3设置为不能访问外网。 配置Cloud云操作如下图: 整个网络安全拓扑图如下:请使用ENSP进程模拟 防火墙基础配置: AR1.
网络安全软硬件配置
Aquarius_ego的博客
09-28 6665
网络安全软硬件配置
Linux系统必备安全配置
weixin_34168700的博客
06-12 2781
为什么80%的码农都做不了架构师?>>> ...
Linux 系统安全配置最全攻略!让你的服务器坚不可摧稳如泰山
民工哥的博客
02-26 177
戳下方名片,关注并星标!回复“1024”获取2TB学习资源!????体系化学习:运维工程师打怪升级进阶之路 4.0— 特色专栏—MySQL/PostgreSQL/MongoDBElasticSearch/Hadoop/RedisKubernetes/Docker/DevOpsKafka/RabbitMQ/Zookeeper监控平台/应用与服务/集群管理N...
一篇了解Java反射
qq_44005305的博客
09-10 126
1.Class也是类,也继承Object类2.Class类对象不是new出来的,而是系统创建的 (都是通过Classloader类创建的)3.每个类的Class类对象,在内存中只有一份,因为类只加载一次。
网络安全配置
xieyu1999的博客
11-02 952
&lt;network-security-config xmlns:android="http://schemas.android.com/apk/res/android"&gt; &lt;domain-config cleartextTrafficPermitted="true"&gt; &lt;domain includeSubdomains="true"&gt;+&quo
Linux网络安全技术.pdf
09-06
Linux 网络安全技术可以从多方面入手,包括客户机设置访问权限、防火墙技术、入侵检测系统、加密技术等。 1. 客户机设置访问权限 网络管理员应仔细设定 Linux 的各种系统功能,并且加上安全措施以保障系统的安全...
网络安全领域】Linux防火墙详解:iptables与firewalld配置及优化实践
最新发布
05-04
内容概要:本文全面介绍了Linux防火墙在网络安全中的重要性及其工作原理、配置方法和应用场景。首先强调了网络安全的重要性,尤其是在企业遭受重大网络攻击的背景下,防火墙作为第一道防线至关重要。接着阐述了Linux...
网络安全-配置kali linux
m0_67362399的博客
03-15 6254
一、网络配置 (1)在虚拟机内的linux系统配置ip,如果当初安装的时候是选择桥接模式,那么后期配置ip的时候就跟主机在同一个局域网下。 (2)在linux配置ip等信息,有临时配置的【直接传递到内核执行,立即生效,重启后失效】;也有永久配置,重启后生效的。用命令行可以直接配置,如 ifconfig eth0 192.168.1.111/24 route add defoult gw 192.168.1.1 【如果配置网关的时候发现有提示“网络不可达”,那就/etc/netword/inte
Linux网络安全】IPsec框架核心技术解析与应用实践:构建企业级安全通信系统Linux系统中IP
05-04
内容概要:本文详细介绍了Linux系统中的IPsec框架及其在网络安全中的应用。IPsec(Internet Protocol Security)是由IETF制定的一系列网络安全协议,旨在为IP网络通信提供加密、认证、完整性保护和抗重放攻击等安全...
西南科技大学+Linux实验报告+Linux网络安全管理报告
01-26
本次实验主要关注的是Linux环境下的网络安全管理和维护,目的是让学生深入理解Linux系统安全性的配置和管理原则,并掌握实现这些配置和管理的基本方法。实验内容涵盖了身份认证、文件权限控制、日志管理、文件完整性...
CMD网络安全配置
06-18
CMD网络安全配置,小白必备,笔记多多益善。共同进步。
Linux&网络安全Linux操作系统安全配置(超全超详细)
m0_59598029的博客
01-30 3169
在实际的渗透测试过程中,面对复杂多变的网络环境,当常用工具不能满足实际需求的时候,往往需要对现有工具进行扩展,或者编写符合我们要求的工具、自动化脚本,这个时候就需要具备一定的编程能力。用户公钥文件保存路径,默认为用户的home目录下.ssh隐藏文件夹中的authorized_keys,建议更换到其他目录,防止丢失或者被恶意登陆者在默认的这个路径中找到篡改。4.设置密码复杂程度,允许重试3次,新密码必须与旧密码有4位不同,最小位数6位,大写字母至少包含2位,小写字母至少包含3位,特殊字母个数至少包含1位。
Linux网络安全之经验谈
yishao的专栏
01-06 1130
一个潜在的黑客如果要攻击你的Linux服务器,他首先就会尝试缓冲区溢出。在过去的几年中,以缓冲区溢出为类型的安全漏洞是最为常见的一种形式了。更为严重的是,缓冲区溢出漏洞占了远程网络攻击的绝大多数,这种攻击可以轻易使得一个匿名的Internet用户有机会获得一台主机的部分或全部的控制权!   为了防止此类攻击,我们从安装系统时就应该注意。如果用root分区纪录数据,如log文件和email,就可
Linux系统安全配置
liutao261311的博客
04-13 561
1、物理安全 硬件服务器,关闭从CD/DVD等这些方面的软启动方式。同时也可以设置BIOS密码,并且要有限制访问的策略与各类流程管控。 还可以禁用USB设备来达到安全的目的: centos7x 安装dconf-editor,搜索automount,将automount及automount open值设为false 或者使用下面的命令将USB的驱动程序删除 mv /lib/modules/3.10....
网络设备安全配置:关键步骤与风险防范
JiYan_blue的博客
03-27 1938
本文从重要性、关键步骤、风险防范以及挑战与未来发展四个方面对网络设备安全配置进行了详细阐述。网络设备安全配置是确保网络系统安全稳定运行的基础性工作,对于保护企业数据安全、维护用户利益具有重要意义。通过明确安全需求、制定安全策略、实施安全配置以及验证和测试等关键步骤,可以构建有效的安全防护体系。同时,加强风险防范意识,采取定期更新补丁、限制物理访问、实时监控和审计等措施,可以有效降低安全风险。
Linux安全配置
ststcheung的博客
05-30 246
该日志文件记录crontab守护进程crond所派生的子进程的动作,前面加上用户、登录时间和PID,以及派生出的进程的动作。REPLACE(替换)动作记录用户对它的cron文件的更新,该文件列出了要周期性执行的任务调度。用户验证、su切换以及与用户管理相关的日志信息都会写到/var/log/secure文件中。默认情况下,在每个用户的主目录下都会生成一个.bash_history的日志文件,在该文件中保存了用户输入的所有命令,管理员可以通过该文件查看某个用户登陆系统后进行了什么操作。使用证书替代密码认证。
Linux操作系统安全配置(一)
Laissez_faire的博客
08-02 3884
各种基本的Linux命令来供你学习,帮你在各种Linux发行版中完成各种任务。虽然不是很详细,但是对Linux初学者,或普通用户,或管理员都是很有用的。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

教Linux的李老师

赞赏是第一生产力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值