LINUX主机安全加固

最新推荐文章于 2025-06-03 14:30:07 发布
原创 最新推荐文章于 2025-06-03 14:30:07 发布 · 2k 阅读 · 9 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#linux加固

0x01 缘由

   您可能会问:“为什么说加固机器非常重要?我的机器看起来并不会遭到攻击,因为我们只是一个小公司(或者是一个
小的非盈利组织等)。”确实,在 这种环境下,你的组织看起来并不是攻击者的目标。然而,许多攻击并不是针对特
定的目标进行,许多攻击者在攻击时并没有进行过思考,它们只是运行自动化的脚 本,找到防御薄弱的机器就实施
攻击。
   实质上,此类攻击通常由一些使用自动化程序的人发起(通常这不复杂,也不需要太多的技术知识),它们使用这些
程序扫描一定范围内的 Internet地址。如果你的机器刚好在这个范围内,就变得非常脆弱,它将可能被攻击或者被破
坏。之后你会发现,你现在要进行令人头疼的恢复操作――恢 复通常比防御需要花费更多的工作量。因此,加固机
器对于任何组织的安全计划来说,都是至关重要的。
   和你想像的一样,正确的加固一台机器对系统管理员来说,是一项烦琐而又耗费时间的过程。在此过程中,很容
易漏掉一个或多个重要步骤,这不仅会为机器留下漏洞,还可能会创建一个错误的安全策略,将机器置于风险之中。

0x02 方法

转载: 最近进行渗透测试,发现很多产商安全意思薄弱,而现在linux作为服务器的场景较多;

转载于:http://blog.youkuaiyun.com/xiegh2014/article/details/43304157

一、       账号策略

1.1 检查是否存在空口令账号
检查方法:
awk -F: '($2 == ""){print}' /etc/passwd
 
备份方法:
cp -p /etc/passwd  /etc/passwd_bak
 
加固方法:
使用命令passwd  <用户名>设置密码。
 
回退方法:
rsync –avp  /etc/passwd_bak  /etc/passwd
 
1.2 检查是否设置除root之外UID为0的用户
检查方法:
awk -F: '($3 == "0") {print}'/etc/passwd
 
备份方法:
cp -p /etc/passwd  /etc/passwd_bak
 
加固方法:
使用命令passwd -l <用户名>锁定不必要的超级账户。
使用命令passwd -u <用户名>解锁需要恢复的超级账户。
 
回退方法:
rsync –avp  /etc/passwd_bak  /etc/passwd
 
1.3 检查是否按组进行账号管理
检查方法:
cat /etc/pam.d/system-auth
 
备份方法:
cp -p /etc/pam.d/system-auth /etc/pam.d/system-auth_bak
加固方法:
添加以下内容
auth  required pam_tally.so deny=5 unlock_time=600 no_lock_time
account  required  pam_tally.so
 
回退方法:
rsync –avp  /etc/pam.d/system-auth_bak /etc/pam.d/system-auth
 
1.4 检查是否设置系统引导管理器密码
检查方法:
cat /boot/grub/grub.conf
备份方法:
cp -p /boot/grub/grub.conf  /boot/grub/grub.conf_bak
 
加固方法:
grub-md5-crypt
将执行之后的结果集添加配置文件中/boot/grub/grub.conf
 
回退方法:
rsync –avp  /boot/grub/grub.conf_bak /boot/grub/grub.conf
 
二、       文件访问控制
1.1 检查用户目录缺省访问权限设置
检查方法:
cat /etc/login.defs
备份方法:
cp -p cat /etc/login.defs   /etc/login.defs_bak
 
加固方法:
vi /etc/login.defs
在末尾增加umask 027或UMASK  027,将缺省访问权限设置为750。
 
回退方法:
rsync –avp  /etc/login.defs_bak /etc/login.defs
1.2 检查重要目录或文件权限设置
检查方法:
cat /etc/profile
 
备份方法:
cp -p /etc/profile/etc/profile_bak
 
加固方法:
在文件/etc/profile中设置umask 077或UMASK 077
 
回退方法:
rsync –avp  /etc/profile_bak  /etc/profile
 
三、       日志管理
检查安全事件日志配置
检查方法:
cat /etc/syslog.conf
 
备份方法:
cp -p /etc/syslog.conf/etc/syslog.conf_bak
 
加固方法:
编辑/etc/syslog.conf
配置:
*.err;kern.debug;daemon.notice                          /var/adm/messages
其中/var/adm/messages为日志文件。
如果该文件不存在,则创建该文件,命令为:
touch /var/adm/messages,并修改权限为666.命令为:chmod666 /var/adm/messages.  
重启日志服务:/etc/init.d/syslogrestart
 
回退方法:
rsync –avp  /etc/syslog.conf_bak  /etc/syslog.conf
 
四、       远程登录
1.1 检查是否修改snmp默认团体字
检查方法:
cat /etc/snmp/snmpd.conf
 
备份方法:
cp -p /etc/snmp/snmpd.conf/etc/snmp/snmpd.conf_bak
 
加固方法:
编辑/etc/snmp/snmpd.conf,修改public默认团体字为用户自定义团体字。
 
回退方法:
rsync –avp  /etc/snmp/snmpd.conf_bak  /etc/snmp/snmpd.conf
1.2 检查系统openssh安全配置
检查方法:
cat /etc/ssh/sshd_config
 
备份方法:
cp -p /etc/ssh/sshd_config/etc/ssh/sshd_config_bak
 
加固方法:
在添加内容/etc/ssh/sshd_config
Protocol 2
PermitRootLogin NO
 
回退方法:
rsync –avp  /etc/ssh/sshd_config_bak /etc/ssh/sshd_config
五、       系统服务
1.1 检查NFS(网络文件系统)服务配置
检查方法:
cat /etc/hosts.allow
 
备份方法:
cp -p /etc/hosts.allow /etc/hosts.allow_bak
 
加固方法:
限制能够访问NFS服务的IP范围,编辑文件vi /etc/hosts.allow增加一行:portmap允许访问的IP
 
回退方法:
rsync –avp  /etc/hosts.allow_bak /etc/hosts.allow
 
1.2 检查是否使用NTP(网络时间协议)保持时间同步
检查方法:
cat /etc/ntp.conf
 
备份方法:
cp -p /etc/ntp.conf/etc/ntp.conf_bak
 
加固方法:
vi /etc/ntp.conf
配置:server IP地址(提供ntp服务的机器)
 
回退方法:
rsync –avp  /etc/ntp.conf_bak /etc/ntp.conf
Linux系统snmpd内存溢出,SNMP安全加固方法总结
weixin_39613561的博客
05-07 662
SNMP(Simple Network Management Protocol,简单网络管理协议)的前身是简单网关监控协议(SGMP),用来对通信线路进行管理。随后,人们对SGMP进行了很大的修改,特别是加入了符合Internet定义的SMI和MIB:体系结构,改进后的协议就是著名的SNMPSNMP的目标是管理互联网Internet上众多厂家生产的软硬件平台,因此SNMP受Internet标准网...
Linux安全检查
wqfhenanxc的专栏
09-06 5914
检查设备密码复杂度策略 1. 检查密码复杂度策略中设置的大写母个数      2. 检查密码复杂度策略中设置的数个数 3. 检查密码复杂度策略中设置的特殊符个数 4. 检查密码复杂度策略中设置的小写母个数 Redhat系统:修改/etc/pam.d/system-auth文件,  Suse9:修改/etc/pam.d/passwd文件,  Suse10,Suse11:修改/etc...
linux安全加固(非常详细)
最新发布
主宰
06-03 1515
安全加固方案原则。
linux主机安全和漏洞修复
xiaoma19961101的博客
10-12 4405
linux主机安全和漏洞修复 1.隐藏SSH的Banner信息 #1.检查方法 隐藏SSH的Banner信息: 查看sshd_config文件中是否存在未注释的Banner /etc/issue.net行,不存在未注释的Banner行视为合规 查看命令:cat /etc/ssh/sshd_config #2.加固步骤 隐藏SSH的Banner信息: 1. 备份sshd_config文件 cp -p /etc/ssh/sshd_config /etc/ssh/sshd_config_bak 2. 编辑ssh
[ZT]SNMP(简单网络管理协议)原理简介
Stewart的专栏
11-20 2433
 SNMP(简单网络管理协议),就如他的名一样,非常简单。您还会通过本文了解到MRTG、SolarWinds等软件的工作原理。晚餐吃了辣椒酱,感觉小舌头被严重灼伤……什么是SNMPSNMP,简单网络管理协议,它不是软件,而是用于网络管理的一套规则(比如做一个受人尊敬的人,需要遵循哪些规则?不说大话、说到做到、为人诚恳,等等)。真正的网管软件,是基于SNMP写的。为什么使用SNMP?若想对网
linux启动grub密码,如何为GRUB系统引导管理器加上密码 | LinuxSir.Org
weixin_32533957的博客
05-01 452
作者:北南南北来自:LinuxSir.Org摘要:本文主要是讲述就如何为GRUB系统引导管理器加上密码,只要输入密码才能使用GRUB来引导系统;仅限于桌面系统上的应用,不能用于远程管理的服务器上;我们总不会为了系统安全,重启服务器后,要跑到机房输入GRUB的密码吧;GRUB有两种加密方法,一种是明口令,另一种是md5口令加密;目录++++++++++++++++++++++++++++++++++...
SUSELinux主机安全加固通用操作指导书.doc
02-24
SUSE Linux 主机安全加固通用操作指导书 SUSE Linux 主机安全加固通用操作指导书旨在提供一份详细的指导手册,以帮助管理员和安全专家对 SUSE Linux 主机进行安全加固。该指导书涵盖了从系统检查到加固实施的各个...
SUSE LINUX主机安全加固指南
"SUSE LINUX主机安全加固手册,由深圳中兴力维技术有限公司内部制作,旨在详细介绍如何对SUSE LINUX主机进行安全加固。文档涵盖了账号加固、服务端口加固、文件权限加固、日志服务器配置、NTP时间服务器配置以及其他...
Linux_权限_设置umask值
超的专栏
01-11 4456
设置umask值
snmp默认团体名/弱口令漏洞及安全加固
05-27 1万+
0x00基础知识 简单网络管理协议(SNMP)被广泛用于计算机操作系统设备、网络设备等领域监测连接到网络上的设备是否有任何引起管理上关注的情况。在运行SNMP服务的设备上,若管理员配置不当运行默认团体名/弱口令访问,将导致敏感信息泄露。敏感不限于系统运行的进程、已安装的软件、系统存在的用户,运行的服务,端口情况等。通过这些信息,攻击者可以清晰的了解到设备整体情况,根据开放的端口和服...
新版snmp配置文件snmpd.conf详解,自定义OID
热门推荐
xxx的博客
01-11 2万+
SNMP安装配置说明 1.安装 apt-get install snmpd snmp (一般系统自带snmp) 2.修改配置文件 vi /etc/snmp/snmpd.conf 配置之前的说明:我在网上看到的所有配置都是com2sec,group,access这三个配置,但是从默认snmp.conf文件中有一段话: 没必要使用 com2sec/group/access配置,...
snmp 默认团体名检测利用
aod83029的博客
12-01 3066
[root@izj6c2n1nth4tg8emd8h58z tmp]# lsb_release LSB Version: :core-4.1-amd64:core-4.1-noarch[root@izj6c2n1nth4tg8emd8h58z tmp]# lsb_release -aLSB Version: :core-4.1-amd64:core-4.1-noarch...
HP-UX修改MP卡的SNMP团体
ULink
01-18 1246
HP-UX系统MP登录   MP login: Admin MP password: *****                   Hewlett-Packard IntegrityIntegrated Lights-Out 2       (c) Copyright Hewlett-Packard Company1999-2008.  All Rights Reserved.
Linux 文件和目录的权限设置 - umask(默认权限),chmod(改变权限)
kikajack的博客
04-28 9478
1. chmod 改变已有目录或文件的权限 chmod 设置已有目录或文件的权限。可以为指定范围的用户添加或删除权限。 权限范围的表示法如下: u:User,即文件或目录的拥有者; g:Group,即文件或目录的所属群组; o:Other,除了文件或目录拥有者或所属群组之外,其他用户皆属于这个范围; a:All,即全部的用户,包含拥有者,所属群组以及其他用户; 权限设置如下: r:...
linux 命令系列之用户与组、缺省权限(6)
chmod_R_755的专栏
04-22 3052
chown : change file ownership 更改文件的所属用户                 chown  [用户名]   [文件/目录]                 chown   user1     /tmp/canglaoshi      或  chown user1 /tmp/canglaoshi/ chgrp:  change fi
文件与目录的默认权限与隐藏权限
whime
10-25 823
文件默认权限umask  umask:目前使用者在创建文件或目录时的权限默认值。 默认情况下  所以 可以使用umask 003的方式设定需要拿掉的权限。 文件隐藏属性  chattr  lsattr   文件特殊权限: SUID, SGID, SBIT   SUID     SGID    SGID可以针对文件或目录来设置。     对于...
SNMP安全加固方法总结
weixin_33906657的博客
01-05 192
SNMP(Simple Network Management Protocol,简单网络管理协议)的前身是简单网关监控协议(SGMP),用来对通信线路进行管理。随后,人们对SGMP进行了很大的修改,特别是加 入了符合Internet定义的SMI和MIB:体系结构,改进后的协议就是著名的SNMPSNMP的目标是管理互联网Internet上众多厂家生产 的软硬件平台,因此SN...
zabbix系列:SNMP团体community解释说明
NIO4444
05-05 9732
#团体名称:community一般是public com2sec notConfigUser default public group notConfigGroup v1 notConfigUser group notConfigGroup v2c notConfigUser access notConfigGroup "" any noauth exact all none none...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值