百度网盘超级会员官方超低价
开启辅助访问 邮箱激活及密码找回流程

 找回密码
 注册会员
学IT技术|学优IT技术网|学优IT论坛»首页 IT学习(2012-2023) vip版>> 网络安全 教你如何加固Linux主机安全
返回列表 发新帖
查看: 1310|回复: 8
收起左侧

教你如何加固Linux主机安全

[复制链接]
发表于 2020-10-10 11:09:08 | 显示全部楼层 |阅读模式
​前 言

Linux系统被应用于大部分企业的服务器上,因此在等保测评中主机加固也是必须要完成的一项环节。

由于在之后项目开始要进行主机加固,因此对linux的加固流程进行总结学习。

Linux的主机加固主要分为:账号安全、认证授权、协议安全、审计安全。简而言之,就是4A(统一安全管理平台解决方案)。

这边就使用我自己kali的虚拟机进行试验学习。

一、账户安全1、口令生存期

gedit /etc/login.defs

1600708089_5f68ddf996484f612e5b1.jpg

在此处对密码的长度、时间、过期警告进行修改

PASS_MAX_DAYS   90  #密码最长过期天数

PASS_MIN_DAYS   10   #密码最小过期天数

PASS_WARN_AGE   7   #密码过期警告天数

如果修改设置有最小长度也需要修改

PASS_MIN_LEN    8   #密码最小长度

2、口令复杂度(很重要)password requisite  pam_cracklib.so

在文件中找到

password requisite  pam_cracklib.so

将其修改为:

password requisite  pam_cracklib.so try_first_pass retry=3 dcredit=-1 lcredit=-1 ucredit=-1 ocredit=-1 minlen=8

备注:至少包含一个数字、一个小写字母、一个大写字母、一个特殊字符、且密码长度>=8

3、版本信息

cat /proc/version

1600708103_5f68de07b8641d2b6151f.jpg

4、限制xx用户登录

/etc/hosts.deny

1600708116_5f68de148d8306434203b.jpg

添加内容:

sshd : 192.168.1.1

禁止192.168.1.1对服务器进行ssh的登陆

5、检查是否有其他uid=0的用户awk -F “:” '($3==0)  {print  $1} ' /etc/passwd

6、登陆超时限制

cp -p /etc/profile /etc/profile_bak(备份)gedit /etc/profile

1600708129_5f68de21abd0883b97e5a.jpg

增加

TMOUT=300export TMOUT

或者

echo 'export TMOUT=300'>>/etc/profileecho 'readonly TMOUT' >>/etc/profilesource /etc/profile7、检查是否使用PAM认证模块禁止wheel组之外的用户su为rootgedit /etc/pam.d/su

新增

auth          sufficient     pam_rootok.soauth          required     pam_wheel.so use_uid

备注:auth与sufficient之间由两个tab建隔开,sufficient与动态库路径之间使用一个tab建隔开

8、禁用无用账户

cat /etc/passwd #查看口令文件,确认不必要的账号。

1600708173_5f68de4db64d0470ba885.jpg

passwd -l user # 锁定不必要的账号

9、账户锁定gedit /etc/pam.d/system-auth

在文件中修改或者添加

auth required pam_tally.so onerr=fail deny=3 unlock_time=7200

锁定账户举例:

passwd -l binpasswd -l syspasswd -l adm

10、检查系统弱口令

john /etc/shadow --singlejohn /etc/shadow --wordlist=pass.dic

我这边有报错 就不展示了

使用passwd 用户 命令为用户设置复杂的密码

二、协议安全1、openssh升级(按需做)

yum update  openssh

2、定时任务(防止病毒感染)

定时任务检查:

crontab -l

一次性任务检查:

at -l

3、限制ssh登录(看是否需要)

首先cat /etc/ssh/sshd_config

查看PermitRootLogin是否为no

1600708194_5f68de62d6497a7e615e6.jpg

gedit  /etc/ssh/sshd_config

PermitRootLogin no不允许root登陆

Protocol 2 修改ssh使用的协议版本

MaxAuthTries 3 修改允许密码错误次数

或echo "tty1" > /etc/securetty

hmod 700 /root

4、限制su为root用户

gedit /etc/pam.d/su

1600708222_5f68de7ea6790a364d64c.jpg

在头部添加 auth required /lib/security/pam_wheel.so group=wheel

5、禁止root用户登录ftp

因为我的kali下没有这个文件,因此借鉴一下网上的

cat /etc/pam.d/vsftpdAuth required pam_listfile.so item=user sense=deny file=/etc/vsftpd/ftpusers onerr=succeed

#其中file=/etc/vsftpd/ftpusers即为当前系统上的ftpusers文件.

echo  “root”   >>   /etc/vsftpd/ftpusersv6、防止flood攻击gedit  /etc/sysctl.conf

1600708236_5f68de8cbd6e2020bdb53.jpg

增加net.ipv4.tcp_syncookies = 1

然后sysctl  -p

7、禁ping

echo 0 > /proc/sys/net/ipv4/icmp_echo_igore_all

8、检查异常进程

ps aux|sort -rn -k +3|head

#检查cpu占用前10

ps aux|sort -rn -k +4|head

#检查内存占用前10

9、关闭无效的服务及端口

比如邮箱

service postfix status

chkconfig --del postfix

chkconfig postfix off

比如cpus

service cups status

chkconfig --del cups

chkconfig cups off

10、设置防火墙策略

或者用防火墙策略:

service iptables status

echo '请根据用户实际业务端口占用等情况进行设置!'

例如:

gedit /etc/sysconfig/iptables 添加如下策略

-A INPUT -m state --state NEW -m tcp -p tcp --dport 8080 -j ACCEPT-A INPUT -m state --state NEW -m udp -p udp --dport 8080 -j ACCEPT

以下举例:

iptables -I INPUT -s 22.48.11.11 -j DROP

# 22.48.11.11的包全部屏蔽

iptables -I INPUT -s 22.48.11.0/24 -j DROP

#22.48.11.1到22.48.11.255的访问全部屏蔽

iptables -I INPUT -s 192.168.1.1 -p tcp --dport 80 -j DROP

# 192.168.1.1的80端口的访问全部屏蔽

iptables -I INPUT -s 192.168.1.0/24 -p tcp --dport 80 -j DROP

#192.168.1.1到192.168.1.255的80端口的访问全部屏蔽

service iptabels restart

#重启防火墙

11、设置历史记录数量

cp /etc/profile /etc/profile_xu_bak(备份)

sed -i s/'HISTSIZE=1000'/'HISTSIZE=5000'/g /etc/profile(修改)

cat /etc/profile |grep HISTSIZE|grep -v export(检查)

三、认证权限1、配置用户最小权限

chmod 644 /etc/passwd

chmod 400 /etc/shadow

chmod 644 /etc/group

2、文件与目录缺省权限控制

cp /etc/profile /etc/profile.bak(备份)

gedit  /etc/profile

增加

umask 027

source  /etc/profile

四、日志审计1、启用远程日志功能

gedit /etc/rsyslog.conf

1600708259_5f68dea320430c824d957.jpg

*.*         @Syslog日志服务器IP

###注意:*和@之间存在的是tab键,非空格。

2、检查是否记录安全事件日志

gedit  /etc/syslog.conf 或者 /etc/rsyslog.conf

在文件中加入如下内容:

*.err;kern.debug;daemon.notice     /var/log/messages

chmod 640 /var/log/messages

service rsyslog restart

3、日志保留半年以上

cp/etc/logrotate.conf /etc/logrotate.conf_xu_bak(备份)

sed -i s/'rotate 4'/'rotate 12'/g /etc/logrotate.conf(修改)

service syslog restart(重启)

cat /etc/logrotate.conf |grep -v '#' |grep rotate(检查)





本文作者:雷石安全实验室, 来自FreeBuf.COM



如何, 何加, 加固, linux, 主机

相关帖子
回复

使用道具 举报

发表于 2020-10-12 03:14:40 | 显示全部楼层
学it
回复 支持 反对

使用道具 举报

发表于 2020-10-12 03:57:06 | 显示全部楼层
厉害了,我的贴
回复 支持 反对

使用道具 举报

发表于 2020-10-19 15:52:02 | 显示全部楼层
最好的IT论坛
回复 支持 反对

使用道具 举报

发表于 2020-10-20 00:47:39 | 显示全部楼层
资料正是我想要的
回复 支持 反对

使用道具 举报

发表于 2020-10-21 17:57:15 | 显示全部楼层
辛苦拉楼主
回复 支持 反对

使用道具 举报

发表于 2020-10-28 14:15:54 | 显示全部楼层
IT视频教程
回复 支持 反对

使用道具 举报

发表于 2020-10-30 08:28:00 | 显示全部楼层
it论坛
回复 支持 反对

使用道具 举报

发表于 2020-10-30 15:33:48 | 显示全部楼层
学优IT论坛
回复 支持 反对

使用道具 举报

返回列表 发新帖

升级VIP| sitemap.xml| 学IT技术|学优IT技术网|学优IT论坛

GMT+8, 2024-4-19 22:41

Powered by xue.itjishu.cn

Copyright © 2012-2023, itjishu.cn.

快速回复 返回顶部 返回列表