當前位置:首頁 » 操作系統 » linux系統加固

linux系統加固

發布時間: 2025-03-18 17:50:31

A. 系統加固之linux安全加固

Linux系統基本操作

文件結構圖及關鍵文件功能介紹

Linux文件結構

Linux文件結構圖

二級目錄

| 目錄 | 功能 |
| /bin | 放置的是在單人維護模式下能被操作的指令,在/bin底下的指令可以被root與一般賬號所使用 |
| /boot | 這個目錄只要在放置開機會使用到的文件,包括 Linux核心文件以及開機選單與開機所需配置的文件等等 |
| /dev | 在Linux系統上,任何裝置與介面設備都是以文件的形態存在於這個目錄當中的 |
| /etc |

系統主要的配置文件幾乎都放在這個目錄內,例如人員賬號密碼各種服務的啟動檔,系統變數配置等

|
| /home | 這個是系統默認的用戶家目錄(home directory) |
| /lib | /lib放置的則是在開機時會用到的函式庫,以及在/lib或/sbin底下的指令會呼叫的函式庫 |
| /media | /media底下放置的是可以移出的裝置,包括軟盤、光碟、DVD等等裝置都掛載於此 |
| /opt | 給第三方協議軟體放置的目錄 |
| /root | 系統管理員(root)的家目錄 |
| /sbin | 放置/sbin底下的為開機過程中所需要的,裡麵包括了開機、修復、還原系統所需的指令。 |
| /srv | srv可視為[service]的縮寫,是一些網路服務啟動之後,這些服務所需要取用的數據目錄 |
| /tmp | 這是讓一般使用者或是正在執行的程序暫時放置文件的地方 |

文件

賬號和許可權

系統用戶

超級管理員 uid=0

系統默認用戶 系統程序使用,從不登錄

新建普通用戶 uid大於500

/etc/passwd

/etc/shadow

用戶管理

許可權管理

解析文件許可權

文件系統安全

查看許可權:ls -l

修改許可權:

**chmod **

** chgrp**

設置合理的初始文件許可權

很奇妙的UMASK:

umask值為0022所對應的默認文件和文件夾創建的預設許可權分別為644和755

文件夾其許可權規則為:777-022-755

文件其許可權規則為:777-111-022=644(因為文件默認沒有執行許可權)

修改UMASK值:

1、直接在命令行下 umask xxx(重啟後消失)

2、修改/etc/profile中設定的umask值

系統加固

鎖定系統中多餘的自建賬號

檢查shadow中空口令賬號

檢查方法:

加固方法:

使用命令passwd -l <用戶名> 鎖定不必要的賬號

使用命令passwd -u <用戶名>解鎖需要恢復的賬號

使用命令passwd <用戶名> 為用戶設置密碼

設置系統密碼策略

執行命令查看密碼策略設置

加固方法:

禁用root之外的超級用戶

檢測方法:

awk -F ":" '( 1}' /etc/passwd

加固方法:

** passwd -l <用戶名>**

****

限制能夠su為root的用戶

查看是否有auth required /libsecurity/pam_whell.so這樣的配置條目

加固方法:

重要文件加上不可改變屬性

把重要文件加上不可改變屬性

Umask安全

SSH安全:

禁止root用戶進行遠程登陸

檢查方法:

加固方法:

更改服務埠:

屏蔽SSH登陸banner信息

僅允許SSH協議版本2

防止誤使用Ctrl+Alt+Del重啟系統

檢查方法:

加固方法:

設置賬號鎖定登錄失敗鎖定次數、鎖定時間

檢查方法:

修改賬號TMOUT值,設置自動注銷時間

檢查方法:

cat /etc/profile | grep TMOUT

加固方法:

vim /etc/profile

增加

TMOUT=600 無操作600秒後自動退出

設置BASH保留歷史命令的條目

檢查方法:

cat /etc/profile | grep HISTSIZE

加固方法:

vim /etc/profile

修改HISTSIZE=5即保留最新執行的5條命令

設置注銷時刪除命令記錄

檢查方法:

cat /etc/skel/.bash_logout 增加如下行

rm -f $HOME/.bash_history

這樣,系統中的所有用戶注銷時都會刪除其命令記錄,如果只需要針對某個特定用戶,,如root用戶進行設置,則可只在該用戶的主目錄下修改/$HOME/.bash_history文件增加相同的一行即可。

設置系統日誌策略配置文件

日誌的主要用途是 系統審計 、監測追蹤和分析。為了保證 Linux 系 統正常運行、准確解決遇到的各種樣統問題,認真地讀取日誌文件是管理員的一項非常重要任務。

UNIX/ Linux 採用了syslog 工具來實現此功能,如果配置正確的 話,所有在主機上發生的事情都會被記錄下來不管是好還是壞的 。

檢查方法:

cat /etc/profile | grep HISTSIZE

確定syslog服務是否啟用

查看syslogd的配置,並確認日誌文件是否存在

阻止系統響應任何從外部/內部來的ping請求

加固方法:

echo 1 >/proc/sys/net/ipv4/icmp_echo_ignore_all

B. Linux安全加固學會使用MD5和C編程保障系統安全linuxmd5c

隨著網路環境和技術的發展,Linux系統的安全性受到日益的關注和重視。安全的技術往往是防護系統安全的有效策略。其中,MD5和C編程是Linux安全加固的重要技術,可以有效保障系統安全,這也是許多系統管理員在安全控制上所重視的技術。
首先,MD5加密是使用最廣泛的信息安全技術,也是Linux安全加固的重要步驟。MD5是由數字摘要演算法編寫,用於保證數據完整性和完整性,以確保兩個不同的數據不等價;可以用來驗證數據的可靠性,以確保收到的文件不被篡改或有效性和完整性。使用MD5加密的最常見的方式就是將明文加密,生成一個128位的散列值,用於確保數據的完整性,減少網路傳輸數據可能帶來的安全問題。例如使用openssl命令行工具可以執行以下操作,對密碼進行加密:
openssl md5 test.txt
#比如生成
其次,C編程是Linux安全加固的重要步驟,也是保護Linux系統安全的重要手段之一。 C語言提供了廣泛的應用程序支持,以實施有效的Linux系統加固措施,防止惡意攻擊或惡意程序的發生。通常,系統管理員可以使用C語言編程技術,在確定的介面上安裝不可逆的鑒定過程,用於驗證收到的資源是否來自可信方,並避免出現攻擊漏洞或數據泄漏。
最後,MD5和C編程都可以用來保障Linux系統的安全性,保護伺服器系統免受惡意威脅。此外,為了進一步加強Linux系統的安全性,系統管理員還需採取其他安全措施,比如安裝合適的防火牆、配置強大的許可權管理等,確保系統的風險可控並降低安全損失。
總結
Linux安全加固是保護Linux系統免受惡意攻擊的重要技術,其中MD5和C語言是實現有效安全加固的重要的技術手段,可以避免惡意攻擊和數據泄漏,有效防護Linux系統的安全,此外,系統管理員也可以結合防火牆、許可權管理等其他安全技術,確保系統安全可靠。

C. Linux伺服器加固滿足等保三級要求

應邀回答行業問題

Linux系統廣泛被應用在伺服器上,伺服器存儲著公司的業務數據,對於互聯網公司數據的安全至關重要,各方面都要都要以安全為最高優先順序,不管是伺服器在雲端還在公司區域網內,都要慎之又慎。

如果黑客入侵到公司的Linux伺服器上,執行下面的命令,好吧,這是要徹底摧毀的節奏,5分鍾後你只能呵呵的看著伺服器了,為什麼要seek呢?給你留個MBR分區。

dd if=/dev/zero of=/dev/sda bs=4M seek=1
Linux系統的安全加固可分為系統加固和網路加固,每個企業的業務需求都不一樣,要根據實際情況來配置。比如SSH安全、賬戶弱口令安全、環境安全、關閉無用服務、開啟防火牆等,已經Centos7為例,簡單說下linux系統SSH網路安全加固。

SSH安全

將ssh服務的默認埠22修改為其他埠,並限制root用戶登陸,配置firewall允許ssh埠通過。

[root@api ~]#sed -i 's#Port 22#Port 6022#' /etc/ssh/sshd_config
[root@api ~]#echo 'PermitRootLogin no' /etc/ssh/sshd_config
[root@api ~]# firewall-cmd --zone=public --add-port=6022/tcp --permanent
[root@api ~]# firewall-cmd --reload
限制訪問ssh的用戶和IP

[root@api ~]#echo 'AllowUsers NAME' >>/etc/ssh/sshd_config
[root@api ~]# echo 'sshd:xxx..x.x:allow' >>/etc/
hosts.allow
[root@api ~]# systemctl restart sshd
禁止ping測試伺服器,禁止IP偽裝。

[root@api ~]# echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_all
[root@api ~]# echo nospoof on >> /etc/host.conf
在Centos7以後iptables將被firewall替代,當然我們還能夠使用iptables,首先需要刪除firewall後,才能夠使用iptables,技術總是在進步的,老的會慢慢被替代。

Linux系統安全加固還有很多,想要繼續可以查閱資料。

D. 伺服器安全加固 - Linux

查看 /etc/passwd 文件查看是否有無用的賬號,如果存在則刪除,降低安全風險。

操作步驟:

操作步驟:

操作步驟

操作步驟

使用命令 vim /etc/pam.d/su 修改配置文件,在配置文件中添加行。
例如,只允許admin組用戶su到root,則添加 auth required pam_wheel.so group=admin 。

【可選】為了方便操作,可配置admin支持免密sudo:在 /etc/sudoers 文件中添加 admin ALL=(ALL) NOPASSWD:ALL

為了防止使用"su"命令將當前用戶環境變數帶入其它用戶,修改/etc/login.defs添加ALWAYS_SET_PATH=yes並保存。

操作步驟

操作步驟:

查看所有服務列表 systemctl list-units --type=service

操作步驟

使用命令 vim /etc/ssh/sshd_config 編輯配置文件。

配置文件修改完成後,重啟sshd服務生效(systemctl restart sshd)。

操作步驟

修改/etc/profile 配置文件,添加行 umask 027 , 即新創建的文件屬主擁有讀寫執行許可權,同組用戶擁有讀和執行許可權,其他用戶無許可權。

操作步驟

修改 /etc/profile 配置文件,設置為 TMOUT=600, 表示超時10分鍾無操作自動退出登錄。

操作步驟

Linux系統默認啟用以下類型日誌,配置文件為 /etc/rsyslog.conf:

通過上述步驟,可以在 /var/log/history 目錄下以每個用戶為名新建一個文件夾,每次用戶退出後都會產生以用戶名、登錄IP、時間的日誌文件,包含此用戶本次的所有操作(root用戶除外)

伺服器安全加固 - Linux - wubolive - 博客園

E. 【史上最全】centOS/Linux系統安全加固方案手冊


史上最全 CentOS/Linux 系統安全加固指南


針對 CentOS 8.1 版本,以下是一系列詳細的系統安全強化措施,其他版本可參考執行:


1. 賬號和口令安全



  • 1.1 刪除或鎖定無用賬號

  • 執行:`userdel` 刪除不必要的賬號,`passwd -l` 鎖定,`passwd -u` 解鎖。

  • 1.2 檢查特殊賬號

  • 檢查空口令和 root 許可權,通過 `awk` 命令進行篩選並鎖定異常賬號。

  • 1.3 添加口令策略

  • 修改 `/etc/login.defs` 和 `/etc/pam.d` 文件,設置復雜度限制和輸錯次數鎖定。

  • 1.4 限制 su 到 root

  • 編輯 `/etc/pam.d/su`,限制特定用戶對 root 的許可權。

  • 1.5 禁止 root 直接登錄

  • 創建新用戶並限制 root 登錄,修改 SSH 配置。

  • 1.6 SSH 認證限制

  • 限制 SSH 登錄嘗試次數,修改 `/etc/ssh/sshd_config`。


2. 服務安全



  • 2.1 關閉非必要服務

  • 使用 `systemctl` 或 `chkconfig` 禁止開機啟動。

  • 2.2 SSH 安全加固

  • 修改 SSH 配置,包括禁止 root 登錄、協議版本、錯誤次數和 IP 訪問。

  • 2.3 selinux 許可權

  • 禁用 selinux,設置核心轉儲限制。

  • 2.4 刪除 rpcgen 工具

  • 檢查並移除可能存在的 rpcgen 工具。

  • 2.5 記錄登錄事件

  • 啟用審計規則,記錄登錄和登出信息。


3. 文件系統與umask



  • 3.1 設置 umask

  • 修改 `/etc/profile`,設置默認 umask 為 027。

  • 3.2 登錄超時

  • 設置 `/etc/profile` 中的 TMOUT 為 180 秒。

  • 3.3 配置 grub.cfg 許可權

  • 限制 /boot/efi/EFI/centos/grub.cfg 的許可權為 600。


4. 日誌管理



  • 4.1 syslogd 日誌

  • 啟用默認日誌並配置詳細記錄。

  • 4.2 記錄用戶操作日誌

  • 在 `/etc/profile` 中編寫腳本,記錄用戶操作到指定目錄。

  • 4.3 安全組件日誌

  • 調整 SSH 和日誌服務設置,確保記錄詳細信息。


5. 內核升級


  • 定期執行內核升級,確保系統安全補丁。


  • 熱點內容
    演算法導論對數 發布:2025-03-19 07:30:58 瀏覽:144
    sql字元串日期 發布:2025-03-19 07:30:52 瀏覽:730
    編程求距離 發布:2025-03-19 07:30:52 瀏覽:979
    win8無法訪問共享 發布:2025-03-19 07:30:49 瀏覽:28
    個人電腦怎麼把伺服器放到公網 發布:2025-03-19 07:19:35 瀏覽:785
    linux配置網路界面 發布:2025-03-19 07:10:10 瀏覽:900
    安卓哪個手機最小 發布:2025-03-19 07:09:08 瀏覽:621
    電腦無線網路怎麼打開伺服器 發布:2025-03-19 06:53:09 瀏覽:925
    網頁緩存視頻下載 發布:2025-03-19 06:52:19 瀏覽:987
    演算法實戰 發布:2025-03-19 06:52:14 瀏覽:515