Linux服务器通用安全加固指南
2021/9/13 7:05:05
本文主要是介绍Linux服务器通用安全加固指南,对大家解决编程问题具有一定的参考价值,需要的程序猿们随着小编来一起学习吧!
实验截图:
笔记:
一、基本系统安全
1、保护引导过程(以Grub引导为例)
在 `/etc/inittab` 中添加 `sp:S:respawn:/sbin/sulogin`,以确保当切换单用户模式时,运行级的配置要求输入root密码
防止用户使用 Ctrl-Alt-Del 进行重新引导:
在RHEL6.X和CentOS 6.X下, 该热键的行为由'/etc/init/control-alt-delete.conf'控制。
注释掉原来的改成:exec /usr/bin/logger -p authpriv.notice -t init "Ctrl-Alt-Del was pressed and ignored",这个配置会在每次按下Ctrl-Alt-Del 时输出日志。
2、关闭不使用的服务
查看哪些服务是开启的:
关闭邮件服务,使用公司邮件服务器:
关闭nfs服务及客户端:
3、增强特殊文件权限:
给下面的文件加上不可更改属性,从而防止非授权用户获得权限。
如果再要添加删除用户,需要先取消上面的设置,等用户添加删除完成之后,再执行上面的操作,例如取消只读权限chattr -i /etc/passwd。(记得重新设置只读)
4、强制实行配额和限制:
Linux PAM(插入式认证模块,Pluggable Authentication Modules)可以强制实行一些实用的限制,在 /etc/security/limits.conf 文件中对此进行配置。
谨记,这些限制适用于单个对话。您可以使用 maxlogins 来控制总额限制。limits.conf 中的条目有如下结构: username|@groupname type resource limit。
为了与 username 区别,groupname 之前必须加 @。类型必须是 soft 或者 hard。软限制(soft-limit)可以 被超出,通常只是警戒线,而硬限制(hard-limit)不能被超出。resource 可以 是下面的关键字之一:
core - 限制内核文件的大小(KB)
data - 最大数据大小(KB)
fsize - 最大文件大小(KB)
memlock - 最大锁定内存地址空间(KB)
nofile - 打开文件的最大数目
rss - 最大持久设置大小(KB)
stack - 最大栈大小(KB)
cpu - 以分钟为单位的最多 CPU 时间
nproc - 进程的最大数目
as - 地址空间限制
maxlogins - 此用户允许登录的最大数目
二、用户安全
1. 禁用不使用的用户
注意:不建议直接删除,当你需要某个用户时,自己重新添加会很麻烦。也可以 usermod -L 或 passwd -l user 锁定。
2、ssh登陆安全
(1)(注意:本实验环境不允许修改ssh端口,否则会造成服务断开)
找到SSh服务配置文件路径一般都是在 /etc/ssh这个目录下面 sshd_config 这个文件,在“# Port 22”这一行下面添加一行,内容为 port 端口号。
然后重启ssh服务即可。
(2)只允许wheel用户组的用户su切换(这里只是举例,不一定要用这个用户组名字)
其他用户切换root,即使输对密码也会提示 su: incorrect password
(3)登录超时(本实验环境不允许这样操作!!!)
用户在线5分钟无操作则超时断开连接,在/etc/profile中添加:
(4) 禁止root直接远程登录(本实验环境不允许这样操作!!!)
(5)限制登录失败次数并锁定
在/etc/pam.d/login后添加:
登录失败5次锁定180秒,根据需要设置是否包括root。
3、减少history命令记录
执行过的历史命令记录越多,从一定程度上讲会给维护带来简便,但同样会伴随安全问题。
vi /etc/profile
找到 HISTSIZE=1000 改为 HISTSIZE=50。
执行 source /etc/profile生效
或每次退出时清理history命令:history –c。
三、网络安全
1、禁用ipv6
禁止加载IPv6模块:
让系统不加载ipv6相关模块,这需要修改modprobe相关设定文件,为了管理方便,我们新建设定文件/etc/modprobe.d/ipv6off.conf,内容如下:
禁用基于IPv6网络,使之不会被触发启动:
禁用网卡IPv6设置,使之仅在IPv4模式下运行:
关闭ip6tables:
重启系统,验证是否生效:
如果没有任何输出就说明IPv6模块已被禁用,否则被启用。
2、防止一般网络攻击
(1)禁ping
阻止ping如果没人能ping通您的系统,安全性自然增加了,可以有效的防止ping洪水。为此,可以在/etc/rc.d/rc.local文件中增加如下一行:
注意 1 后面是有空格的
或使用iptable禁ping,当然前提是你启用了iptables防火墙。
(2)防止IP欺骗
编辑/etc/host.conf文件并增加如下几行来防止IP欺骗攻击:
(3)防止DoS攻击
对系统所有的用户设置资源限制可以防止DoS类型攻击,如最大进程数和内存使用数量等。
可以在/etc/security/limits.conf中添加如下几行:
core 0 表示禁止创建core文件;nproc 128 把最多的进程数限制到20;nofile 64 表示把一个用户同时打开的最大文件数限制为64;* 表示登录到系统的所有用户,不包括root。
然后必须编辑/etc/pam.d/login文件检查下面一行是否存在:
limits.conf参数的值需要根据具体情况调整。
3、定期做日志检查
将日志移动到专用的日志服务器里,这可避免入侵者轻易的改动本地日志。下面是常见linux的默认日志文件及其用处:
分析与思考
1、查询资料了解更多关于linux系统加固的知识。
linux安全加固要注意以下几个方面:
1 、 BIOS
在系统启动的时候设置一个BIOS密码和禁用从CD-ROM和软盘引导,可以防止未经允许访问的系统和更改BIOS 设置。
2 、sshd 服务
SSH 是一个协议,利用它可以登录到一个远程系统或远程执行系统命令,默认允许root 登录,并且sshv1 存在缺陷,我们应该在sshd_config 禁止root 访问和使用sshv2 来让ssh更加安全。
3 、 禁用 telnet
早期的Linux 默认开启telnet 服务,telnet,ftp,rlogin 都是明文传输的协议是容易被嗅探到的,这就是为什么推荐使用安全的版本(sftp,scp,ssh )的原因,如果必须要使用telnet ,那么至少应该隐藏banner 信息。
4 、 禁用代码编译
禁用代码编译并且只把编译的权限分配给一个用户组。
5 、ProFTP
修改proftpd.conf 来禁止root 登陆
等
2、查询资料了解iptables有哪些用途?
iptables简称netfilter/iptables(简称为iptables)组成Linux平台下的包过滤防火墙,与大多数的Linux软件一样,这个包过滤防火墙是免费的,它可以代替昂贵的商业防火墙解决方案,完成封包过滤、封包重定向和网络地址转换(NAT)等功能。
这篇关于Linux服务器通用安全加固指南的文章就介绍到这儿,希望我们推荐的文章对大家有所帮助,也希望大家多多支持为之网!
- 2024-11-23linux 系统宝塔查看网站访问的命令是什么?-icode9专业技术文章分享
- 2024-11-12如何创建可引导的 ESXi USB 安装介质 (macOS, Linux, Windows)
- 2024-11-08linux的 vi编辑器中搜索关键字有哪些常用的命令和技巧?-icode9专业技术文章分享
- 2024-11-08在 Linux 的 vi 或 vim 编辑器中什么命令可以直接跳到文件的结尾?-icode9专业技术文章分享
- 2024-10-22原生鸿蒙操作系统HarmonyOS NEXT(HarmonyOS 5)正式发布
- 2024-10-18操作系统入门教程:新手必看的基本操作指南
- 2024-10-18初学者必看:操作系统入门全攻略
- 2024-10-17操作系统入门教程:轻松掌握操作系统基础知识
- 2024-09-11Linux部署Scrapy学习:入门级指南
- 2024-09-11Linux部署Scrapy:入门级指南