linux系統加固
A. 系統加固之linux安全加固
Linux系統基本操作
文件結構圖及關鍵文件功能介紹
Linux文件結構
Linux文件結構圖
二級目錄
| 目錄 | 功能 |
| /bin | 放置的是在單人維護模式下能被操作的指令,在/bin底下的指令可以被root與一般賬號所使用 |
| /boot | 這個目錄只要在放置開機會使用到的文件,包括 Linux核心文件以及開機選單與開機所需配置的文件等等 |
| /dev | 在Linux系統上,任何裝置與介面設備都是以文件的形態存在於這個目錄當中的 |
| /etc |
系統主要的配置文件幾乎都放在這個目錄內,例如人員賬號密碼各種服務的啟動檔,系統變數配置等
|
| /home | 這個是系統默認的用戶家目錄(home directory) |
| /lib | /lib放置的則是在開機時會用到的函式庫,以及在/lib或/sbin底下的指令會呼叫的函式庫 |
| /media | /media底下放置的是可以移出的裝置,包括軟盤、光碟、DVD等等裝置都掛載於此 |
| /opt | 給第三方協議軟體放置的目錄 |
| /root | 系統管理員(root)的家目錄 |
| /sbin | 放置/sbin底下的為開機過程中所需要的,裡麵包括了開機、修復、還原系統所需的指令。 |
| /srv | srv可視為[service]的縮寫,是一些網路服務啟動之後,這些服務所需要取用的數據目錄 |
| /tmp | 這是讓一般使用者或是正在執行的程序暫時放置文件的地方 |
文件
賬號和許可權
系統用戶
超級管理員 uid=0
系統默認用戶 系統程序使用,從不登錄
新建普通用戶 uid大於500
/etc/passwd
/etc/shadow
用戶管理
許可權管理
解析文件許可權
文件系統安全
查看許可權:ls -l
修改許可權:
**chmod **
** chgrp**
設置合理的初始文件許可權
很奇妙的UMASK:
umask值為0022所對應的默認文件和文件夾創建的預設許可權分別為644和755
文件夾其許可權規則為:777-022-755
文件其許可權規則為:777-111-022=644(因為文件默認沒有執行許可權)
修改UMASK值:
1、直接在命令行下 umask xxx(重啟後消失)
2、修改/etc/profile中設定的umask值
系統加固
鎖定系統中多餘的自建賬號
檢查shadow中空口令賬號
檢查方法:
加固方法:
使用命令passwd -l <用戶名> 鎖定不必要的賬號
使用命令passwd -u <用戶名>解鎖需要恢復的賬號
使用命令passwd <用戶名> 為用戶設置密碼
設置系統密碼策略
執行命令查看密碼策略設置
加固方法:
禁用root之外的超級用戶
檢測方法:
awk -F ":" '( 1}' /etc/passwd
加固方法:
** passwd -l <用戶名>**
****
限制能夠su為root的用戶
查看是否有auth required /libsecurity/pam_whell.so這樣的配置條目
加固方法:
重要文件加上不可改變屬性
把重要文件加上不可改變屬性
Umask安全
SSH安全:
禁止root用戶進行遠程登陸
檢查方法:
加固方法:
更改服務埠:
屏蔽SSH登陸banner信息
僅允許SSH協議版本2
防止誤使用Ctrl+Alt+Del重啟系統
檢查方法:
加固方法:
設置賬號鎖定登錄失敗鎖定次數、鎖定時間
檢查方法:
修改賬號TMOUT值,設置自動注銷時間
檢查方法:
cat /etc/profile | grep TMOUT
加固方法:
vim /etc/profile
增加
TMOUT=600 無操作600秒後自動退出
設置BASH保留歷史命令的條目
檢查方法:
cat /etc/profile | grep HISTSIZE
加固方法:
vim /etc/profile
修改HISTSIZE=5即保留最新執行的5條命令
設置注銷時刪除命令記錄
檢查方法:
cat /etc/skel/.bash_logout 增加如下行
rm -f $HOME/.bash_history
這樣,系統中的所有用戶注銷時都會刪除其命令記錄,如果只需要針對某個特定用戶,,如root用戶進行設置,則可只在該用戶的主目錄下修改/$HOME/.bash_history文件增加相同的一行即可。
設置系統日誌策略配置文件
日誌的主要用途是 系統審計 、監測追蹤和分析。為了保證 Linux 系 統正常運行、准確解決遇到的各種樣統問題,認真地讀取日誌文件是管理員的一項非常重要任務。
UNIX/ Linux 採用了syslog 工具來實現此功能,如果配置正確的 話,所有在主機上發生的事情都會被記錄下來不管是好還是壞的 。
檢查方法:
cat /etc/profile | grep HISTSIZE
確定syslog服務是否啟用
查看syslogd的配置,並確認日誌文件是否存在
阻止系統響應任何從外部/內部來的ping請求
加固方法:
echo 1 >/proc/sys/net/ipv4/icmp_echo_ignore_all
B. Linux安全加固學會使用MD5和C編程保障系統安全linuxmd5c
隨著網路環境和技術的發展,Linux系統的安全性受到日益的關注和重視。安全的技術往往是防護系統安全的有效策略。其中,MD5和C編程是Linux安全加固的重要技術,可以有效保障系統安全,這也是許多系統管理員在安全控制上所重視的技術。
首先,MD5加密是使用最廣泛的信息安全技術,也是Linux安全加固的重要步驟。MD5是由數字摘要演算法編寫,用於保證數據完整性和完整性,以確保兩個不同的數據不等價;可以用來驗證數據的可靠性,以確保收到的文件不被篡改或有效性和完整性。使用MD5加密的最常見的方式就是將明文加密,生成一個128位的散列值,用於確保數據的完整性,減少網路傳輸數據可能帶來的安全問題。例如使用openssl命令行工具可以執行以下操作,對密碼進行加密:
openssl md5 test.txt
#比如生成
其次,C編程是Linux安全加固的重要步驟,也是保護Linux系統安全的重要手段之一。 C語言提供了廣泛的應用程序支持,以實施有效的Linux系統加固措施,防止惡意攻擊或惡意程序的發生。通常,系統管理員可以使用C語言編程技術,在確定的介面上安裝不可逆的鑒定過程,用於驗證收到的資源是否來自可信方,並避免出現攻擊漏洞或數據泄漏。
最後,MD5和C編程都可以用來保障Linux系統的安全性,保護伺服器系統免受惡意威脅。此外,為了進一步加強Linux系統的安全性,系統管理員還需採取其他安全措施,比如安裝合適的防火牆、配置強大的許可權管理等,確保系統的風險可控並降低安全損失。
總結
Linux安全加固是保護Linux系統免受惡意攻擊的重要技術,其中MD5和C語言是實現有效安全加固的重要的技術手段,可以避免惡意攻擊和數據泄漏,有效防護Linux系統的安全,此外,系統管理員也可以結合防火牆、許可權管理等其他安全技術,確保系統安全可靠。
C. Linux伺服器加固滿足等保三級要求
應邀回答行業問題
Linux系統廣泛被應用在伺服器上,伺服器存儲著公司的業務數據,對於互聯網公司數據的安全至關重要,各方面都要都要以安全為最高優先順序,不管是伺服器在雲端還在公司區域網內,都要慎之又慎。
如果黑客入侵到公司的Linux伺服器上,執行下面的命令,好吧,這是要徹底摧毀的節奏,5分鍾後你只能呵呵的看著伺服器了,為什麼要seek呢?給你留個MBR分區。
dd if=/dev/zero of=/dev/sda bs=4M seek=1
Linux系統的安全加固可分為系統加固和網路加固,每個企業的業務需求都不一樣,要根據實際情況來配置。比如SSH安全、賬戶弱口令安全、環境安全、關閉無用服務、開啟防火牆等,已經Centos7為例,簡單說下linux系統SSH網路安全加固。
SSH安全
將ssh服務的默認埠22修改為其他埠,並限制root用戶登陸,配置firewall允許ssh埠通過。
[root@api ~]#sed -i 's#Port 22#Port 6022#' /etc/ssh/sshd_config
[root@api ~]#echo 'PermitRootLogin no' /etc/ssh/sshd_config
[root@api ~]# firewall-cmd --zone=public --add-port=6022/tcp --permanent
[root@api ~]# firewall-cmd --reload
限制訪問ssh的用戶和IP
[root@api ~]#echo 'AllowUsers NAME' >>/etc/ssh/sshd_config
[root@api ~]# echo 'sshd:xxx..x.x:allow' >>/etc/
hosts.allow
[root@api ~]# systemctl restart sshd
禁止ping測試伺服器,禁止IP偽裝。
[root@api ~]# echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_all
[root@api ~]# echo nospoof on >> /etc/host.conf
在Centos7以後iptables將被firewall替代,當然我們還能夠使用iptables,首先需要刪除firewall後,才能夠使用iptables,技術總是在進步的,老的會慢慢被替代。
Linux系統安全加固還有很多,想要繼續可以查閱資料。
D. 伺服器安全加固 - Linux
查看 /etc/passwd 文件查看是否有無用的賬號,如果存在則刪除,降低安全風險。
操作步驟:
操作步驟:
操作步驟
操作步驟
使用命令 vim /etc/pam.d/su 修改配置文件,在配置文件中添加行。
例如,只允許admin組用戶su到root,則添加 auth required pam_wheel.so group=admin 。
【可選】為了方便操作,可配置admin支持免密sudo:在 /etc/sudoers 文件中添加 admin ALL=(ALL) NOPASSWD:ALL
為了防止使用"su"命令將當前用戶環境變數帶入其它用戶,修改/etc/login.defs添加ALWAYS_SET_PATH=yes並保存。
操作步驟
操作步驟:
查看所有服務列表 systemctl list-units --type=service
操作步驟
使用命令 vim /etc/ssh/sshd_config 編輯配置文件。
配置文件修改完成後,重啟sshd服務生效(systemctl restart sshd)。
操作步驟
修改/etc/profile 配置文件,添加行 umask 027 , 即新創建的文件屬主擁有讀寫執行許可權,同組用戶擁有讀和執行許可權,其他用戶無許可權。
操作步驟
修改 /etc/profile 配置文件,設置為 TMOUT=600, 表示超時10分鍾無操作自動退出登錄。
操作步驟
Linux系統默認啟用以下類型日誌,配置文件為 /etc/rsyslog.conf:
通過上述步驟,可以在 /var/log/history 目錄下以每個用戶為名新建一個文件夾,每次用戶退出後都會產生以用戶名、登錄IP、時間的日誌文件,包含此用戶本次的所有操作(root用戶除外)
伺服器安全加固 - Linux - wubolive - 博客園
E. 【史上最全】centOS/Linux系統安全加固方案手冊
史上最全 CentOS/Linux 系統安全加固指南
針對 CentOS 8.1 版本,以下是一系列詳細的系統安全強化措施,其他版本可參考執行:
1. 賬號和口令安全
- 1.1 刪除或鎖定無用賬號
- 執行:`userdel` 刪除不必要的賬號,`passwd -l` 鎖定,`passwd -u` 解鎖。
- 1.2 檢查特殊賬號
- 檢查空口令和 root 許可權,通過 `awk` 命令進行篩選並鎖定異常賬號。
- 1.3 添加口令策略
- 修改 `/etc/login.defs` 和 `/etc/pam.d` 文件,設置復雜度限制和輸錯次數鎖定。
- 1.4 限制 su 到 root
- 編輯 `/etc/pam.d/su`,限制特定用戶對 root 的許可權。
- 1.5 禁止 root 直接登錄
- 創建新用戶並限制 root 登錄,修改 SSH 配置。
- 1.6 SSH 認證限制
- 限制 SSH 登錄嘗試次數,修改 `/etc/ssh/sshd_config`。
2. 服務安全
- 2.1 關閉非必要服務
- 使用 `systemctl` 或 `chkconfig` 禁止開機啟動。
- 2.2 SSH 安全加固
- 修改 SSH 配置,包括禁止 root 登錄、協議版本、錯誤次數和 IP 訪問。
- 2.3 selinux 許可權
- 禁用 selinux,設置核心轉儲限制。
- 2.4 刪除 rpcgen 工具
- 檢查並移除可能存在的 rpcgen 工具。
- 2.5 記錄登錄事件
- 啟用審計規則,記錄登錄和登出信息。
3. 文件系統與umask
- 3.1 設置 umask
- 修改 `/etc/profile`,設置默認 umask 為 027。
- 3.2 登錄超時
- 設置 `/etc/profile` 中的 TMOUT 為 180 秒。
- 3.3 配置 grub.cfg 許可權
- 限制 /boot/efi/EFI/centos/grub.cfg 的許可權為 600。
4. 日誌管理
- 4.1 syslogd 日誌
- 啟用默認日誌並配置詳細記錄。
- 4.2 記錄用戶操作日誌
- 在 `/etc/profile` 中編寫腳本,記錄用戶操作到指定目錄。
- 4.3 安全組件日誌
- 調整 SSH 和日誌服務設置,確保記錄詳細信息。