Linux系统加固

最新推荐文章于 2025-09-06 23:03:48 发布
转载 最新推荐文章于 2025-09-06 23:03:48 发布 · 82 阅读 · 0 ·
CC 4.0 BY-SA版权
原文链接:http://www.cnblogs.com/test404/p/6486841.html
文章标签:

#操作系统 #开发工具 #运维

iptables

初始化

> iptables -F   #清空所有的链
> iptables -X  #清空所有自定义的链
关掉全部端口

> iptables -P INPUT DROP
> iptables -P OUTPUT DROP
开启端口第一步

iptables -A INPUT -p icmp --icmp-type any -j ACCEPT
允许icmp包进入
iptables -A INPUT -s localhost -d localhost -j ACCEPT
允许本地的数据包
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
允许已经建立和相关的数据包进入
iptables -A OUTPUT -p icmp --icmp any -j ACCEPT
允许icmp包出去
iptables -A OUTPUT -s localhost -d localhost -j ACCEPT
允许本地数据包
iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
允许已经建立和相关的数据包出去
关闭端口号

iptables -I INPUT -i eth0 -p tcp --dport 81 -j DROP
iptables -I OUTPUT -o eth0 -p tcp --sport 81 -j DROP
打开端口号

iptables -I INPUT -i eth0 -p tcp --dport 81 -j ACCEPT
iptables  -I OUTPUT -o eth0 -p tcp --sport 81 -j ACCEPT

网络服务安全

禁止ping

 # echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_all 开启
 # echo 0 > /proc/sys/net/ipv4/icmp_echo_ignore_all  关闭

访问控制

为不同的管理员分配不同的账户

cat /etc/passwd
useradd username
passwd password
增加新用户
chmod 777 目录
去除不需要的帐号、修改默认帐号的shell变量

cat /etc/passwd
cat /etc/shadow
删除不需要的账户
userdel username
groupdel username

设置shell
usermod -s /dev/hull username
对系统账号进行登陆限制

禁止某用户登陆
example:
bin:x:2:2:bin:/bin:/bin/bash
=>
bin:x:2:2:bin:/bin:/bin/nologin
禁用bin用户登陆

touch /etc/nologin
禁止除root以外所有用户登陆
建议禁掉的用户:daemon   bin  sys  adm  lp   uucp   nuucp  smmsp等
设置关键目录的权限

关键目录:
chmod 644 /etc/passwd 
chmod 600 /etc/shadow 
chmod 644 /etc/group
设置目录权限

ls -l查看权限
权限前边的ld为d是目录文件,l是链接文件
chmod -R 750 /etc/init.d/*
设置关键文件的属性

身份鉴别

为空口令用户设置密码

cat /etc/passwd
    注册名:口令:用户标识号:组标识号:用户名:用户主目录:命令解释程序 
    查看是否存在空口令用户(X为存在密码,*为被封禁)
passwd 空口令用户名
缺省密码长度限制

vim /etc/login.defs 
查看PASS_MIN_LEN选项值
PASS_MIN_LEN  8
设置密码长度最短为8
缺省密码生存周期限制

vim /etc/login.defs 
PASS_MAX_DAYS 90
PASS_MIN_DAYS 0
设置帐户口令的生存期不长于90 天
口令过期提醒

vim /etc/login.defs
PASS_WARN_AGE 7
口令到期前多少天开始通知用户口令即将到期
限制超级管理员远程登录

vim /etc/ssh/sshd_config
把PermitRootLogin yes修改为no
service sshd restart
重启sshd服务
如果遇到sshd: unrecognized service错误
尝试一下service ssh restart
用ps -ef | grep sshd查看一下服务是否启动

 

转载于:https://www.cnblogs.com/test404/p/6486841.html

Linux系统加固指南
广阔天地,大有作为
09-12 800
在当今网络安全威胁日益增长的环境中,确保Linux系统的安全性至关重要。本文将介绍几种常见的Linux加固方案,并提供一个基础的Shell脚本,以帮助用户提升系统安全性。
Windows及Linux系统加固
钟言的博客
07-22 4079
本篇为windows及Linux系统加固,详细内容包含了:Windows加固 1、配置简介 2、账户配置 3、本地配置 4、安全设置 、Linux加固 1、配置简介 2、网络配置 3、日志和审计配置 4、访问认证和授权配置 5、系统运维配置等内容。
如何加固Linux系统
http://www.onlyze.cn/
08-26 819
如何加固Linux系统 一. 账户安全   1.1 锁定系统中多余的自建帐号   检查方法:   执行命令   #cat /etc/passwd   #cat /etc/shadow   查看账户、口令文件,与系统管理员确认不必要的账号。对于一些保留的系统伪帐户如:bin, sys,adm,uucp,lp, nuucp,hpdb, www, daemon等可根据需要锁定登陆。   
Linux系统检测和防护脚本
u014779378的博客
11-13 2395
1、方便将服务器安全情况通过检测脚本直接输出txt文件,同便于检查出安全隐患。 2、缩短安全检查和防护间,提高安全检查和防护效率 github地址 https://github.com/xiaoyunjie/Shell_Script.git 一、Linux检测脚本 1.1、文件 压缩包包含2个文件: CentOS_Check_Script.sh : 脚本文件 README.txt :...
linux系统加固
zxy98的专栏
04-30 1212
linux系统加固,centos,安全
LINUX系统加固
无远弗届
03-02 482
今天学习了阿里云大学的《Linux系统Web应用安全加固》课程,将记录的笔记整理如下,以供后续学习。 下图是思维导图,具体见https://mubu.com/doc/yK1kL497O0 ...
2024年Linux最全linux系统加固
2401_83947398的博客
04-30 1743
最近很多小伙伴找我要Linux学习资料,于是我翻箱倒柜,整理了一些优质资源,涵盖视频、电子书、PPT等共享给大家!最近很多小伙伴找我要Linux学习资料,于是我翻箱倒柜,整理了一些优质资源,涵盖视频、电子书、PPT等共享给大家!
Linux系统安全加固
Yian123456的博客
06-20 1532
IPTables是Linux系统用于定义防火墙规则的工具,他是由两部分组成的,一个是IPTables,另一个是netfilter,主要工作在网络层,针对IP数据包。
LINUX系统加固.docx
06-24
Linux系统加固是一个重要的过程,旨在提高系统的安全性,防止未授权访问和恶意攻击。根据《可信计算机评估标准》(TCSEC)或"桔皮书",Linux系统的安全级别通常需要达到B2级别,即"结构化安全保护"。这一级别要求有...
Linux系统加固规范模板.doc
06-30
Linux系统加固是针对Linux操作系统安全性能提升的重要措施,它涉及一系列策略和技术的实施,以减少安全漏洞,防止未授权访问和潜在的攻击。本文档以山东省计算中心2025年6月的模板为例,详细阐述了Linux系统加固的多...
Linux系统加固.pdf
08-23
Linux系统加固是信息安全领域中的一项重要工作,旨在提升Linux系统的安全性,以抵御外部威胁和内部误操作的风险。文档中提到的内容重点介绍了如何通过系统密码策略、账号管理、umask值的设置、禁用root账号的SSH远程...
Windows与Linux 系统加固
three_1996的博客
03-30 2722
/.bash_profile 配置的局部变量,每个用户专属,当用户登录的候,该文件仅仅执行一次。~/.bashrc 用户专属的bash信息,打开新的shell的候,或者登录,该文件被读取。/var/log/secure 安全日志,记录了所有的用户和工作组的变换,用户登录认证。/var/log/wtmp 永久记录每个用户登录、注销及系统的启动和停机事件,last。/ect/rc.d/rc.local 系统启动的候,会加载该文件并执行其中的代码。文件: /etc/pam.d/system-auth。
第二章 Windows 核心概念通俗解析
YJlio的博客
09-03 1157
本文通俗解析了Windows核心概念,帮助理解Sysinternals工具背后的原理。主要内容包括:管理员权限与UAC机制、进程线程与作业的区别、用户模式与内核模式的切换、句柄的作用机制、应用隔离技术(MIC和App Container)、受保护进程特性、调用栈与符号的重要性,以及会话窗口机制和UIPI安全防护。通过生活化比喻和记忆口诀,将复杂的Windows内核原理转化为易于理解的知识点,为使用Sysinternals工具进行系统诊断提供理论基础。掌握这些核心概念能更准确地解读工具数据,快速定位系统问题。
Linux 中 export 命令用法总结
核电子探索者
09-04 1132
Linux中的export命令用于将变量导出为环境变量,使其能被当前Shell及其子进程访问。局部变量仅限当前Shell,而环境变量可跨进程传递。基本语法包括export 变量名=值(一步导出)或先定义再export(两步)。常用场景包括:临设置环境变量(如PATH)、导出函数供子进程调用、取消导出(export -n)及查看环境变量(export -p)。持久化需将export命令写入~/.bashrc(用户级)或/etc/profile(系统级)。注意事项:带空格的值需引号包裹,子进程修改不影响父进程
强强联合,光亚鸿道与昆仑北工增资签约仪式圆满完成
Kyland2020的博客
09-04 301
昆仑北工基金完成对光亚鸿道的战略投资。该基金由中国石油集团昆仑资本与北工投资联合发起,此次投资将为光亚鸿道的鸿道®工业操作系统带来资本支持和产业资源协同。鸿道操作系统已通过多项功能安全认证,应用于飞行控制、半导体设备等领域。此次投资将加速其在工业控制、机器人等领域的国产化进程,推动构建自主可控的软硬一体技术体系。昆仑资本和北工投资表示,此次投资是落实"数智石油"战略和服务北京科创中心建设的重要举措,将助力国产工业操作系统发展壮大。
3.进程调度:常见算法
最新发布
m0_74979597的博客
09-06 575
答:在FCFS算法中,一个长进程阻塞后面所有短进程的现象。进程调度是操作系统的核心功能:✅算法多样性:不同算法适合不同场景✅性能权衡:响应间 vs 吞吐量 vs 公平性✅现代趋势:CFS、MLFQ等自适应算法✅实需求:EDF、RMS等保证序要求。
Linux系统加固实践代码
12-10
Linux系统中,系统加固是确保系统安全的重要步骤。以下是一些常见的Linux系统加固实践代码和命令: ### 1. 更新系统 首先,确保系统最新的,以修补已知的安全漏洞。 ```bash sudo apt update && sudo apt upgrade -y ``` ### 2. 禁用不必要的服务 禁用不必要的服务和启动项,以减少攻击面。 ```bash sudo systemctl disable <service_name> sudo systemctl stop <service_name> ``` ### 3. 配置防火墙 使用`ufw`(Uncomplicated Firewall)来配置防火墙规则。 ```bash sudo ufw default deny incoming sudo ufw default allow outgoing sudo ufw allow ssh sudo ufw enable ``` ### 4. 增强SSH安全性 修改SSH配置文件以增强安全性,例如禁用root登录和更改默认端口。 ```bash sudo nano /etc/ssh/sshd_config ``` 在文件中进行以下更改: ```plaintext PermitRootLogin no Port <new_port_number> PasswordAuthentication no ``` 保存并退出文件,然后重启SSH服务: ```bash sudo systemctl restart sshd ``` ### 5. 安装和配置Fail2Ban Fail2Ban可以防止暴力破解攻击。 ```bash sudo apt install fail2ban -y sudo nano /etc/fail2ban/jail.local ``` 在文件中添加以下内容: ```plaintext [sshd] enabled = true port = <new_port_number> filter = sshd logpath = /var/log/auth.log maxretry = 5 bantime = 600 ``` 保存并退出文件,然后重启Fail2Ban服务: ```bash sudo systemctl restart fail2ban ``` ### 6. 启用SELinux或AppArmor 根据发行版不同,启用SELinux或AppArmor以提供额外的安全层。 #### 启用SELinux ```bash sudo setenforce 1 ``` #### 启用AppArmor ```bash sudo systemctl enable apparmor sudo systemctl start apparmor ``` ### 7. 文件系统权限 确保关键文件和目录的权限设置正确。 ```bash sudo chmod -R go-w /etc sudo chmod -R go-rw /var/log ``` ### 8. 定期审计和监控 使用工具如`Lynis`进行系统审计。 ```bash sudo apt install lynis -y sudo lynis audit system ``` ### 9. 日志管理 配置系统日志以确保日志文件的完整性和安全性。 ```bash sudo nano /etc/rsyslog.conf ``` 确保以下行未被注释: ```plaintext $FileCreateMode 0640 $DirCreateMode 0755 $Umask 0022 ``` 保存并退出文件,然后重启rsyslog服务: ```bash sudo systemctl restart rsyslog ``` 通过这些步骤,可以显著提高Linux系统的安全性。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值