偷偷摘套内射激情视频,久久精品99国产国产精,中文字幕无线乱码人妻,中文在线中文a,性爽19p

Linux服務(wù)器如何加固(安全篇)

作者:佚名
運(yùn)維 服務(wù)器運(yùn)維
針對(duì)最近越來越多的安全事件曝光,服務(wù)器的安全問題浮出水面,這里介紹總結(jié)一些小的安全技巧,幫助加固服務(wù)器。

 針對(duì)最近越來越多的安全事件曝光,服務(wù)器的安全問題浮出水面,這里介紹總結(jié)一些小的安全技巧,幫助加固服務(wù)器。

注意:再高超的安全技術(shù)手段也比不了良好的安全意識(shí)!

一、信息安全防護(hù)的目標(biāo)

  • 保密性,Confidentiality
  • 完整性,Integrity
  • 可用性,Usability
  • 可控制性,Controlability
  • 不可否認(rèn)性,Non-repudiation

[[239240]]

二、安全防護(hù)環(huán)節(jié)

  • 物理安全:各種設(shè)備/主機(jī)、機(jī)房環(huán)境
  • 系統(tǒng)安全:主機(jī)或設(shè)備的操作系統(tǒng)
  • 應(yīng)用安全:各種網(wǎng)絡(luò)服務(wù)、應(yīng)用程序
  • 網(wǎng)絡(luò)安全:對(duì)網(wǎng)絡(luò)訪問的控制、防火墻規(guī)則
  • 數(shù)據(jù)安全:信息的備份與恢復(fù)、加密解密
  • 管理安全:各種保障性的規(guī)范、流程、方法

三、LINUX系統(tǒng)加固

1、阻止普通用戶關(guān)機(jī)

  1. [root@svr1 ~]# cd /etc/security/console.apps/  
  2. [root@svr1 console.apps]# mkdir -m 700 locked 
  3. [root@svr1 console.apps]# mv poweroff locked/ 

2、設(shè)置普通用戶密碼各個(gè)時(shí)間:

-m密碼最短有效時(shí)間

-M最長

-W:警告waring

-I:不活躍時(shí)間inactive

-E:失效時(shí)間 expire

設(shè)置普通用戶下一次登陸必須改密碼

  1. [root@localhost ~]# chage -d 0 alice 

3、清理非登錄賬號(hào)

刪除冗余賬號(hào) ;

/sbin/nologin,禁止登錄shell

4、帳號(hào)鎖定操作

  1. [root@localhost ~]# passwd -l alice 
  2. [root@localhost ~]# passwd -S alice 
  3. [root@localhost ~]# passwd -u alice 
  4. [root@localhost ~]# usermod -L alice 
  5. [root@localhost ~]# usermod -U alice 

-l:鎖定、-u解鎖、-S查看狀態(tài)、

-L:usermod下的鎖定;

U:usermod的解鎖

5、配置文件/etc/login.defs

對(duì)新建的用戶有效

主要控制屬性

  • PASS_MAX_DAYS
  • PASS_MIN_DAYS
  • PASS_WARN_AGE

6、設(shè)置***歷史命令條目數(shù)

  1. # vim /etc/profile ->改HISTSIZE參數(shù) 
  2. HISTSIZE 

7、文件系統(tǒng)規(guī)劃及掛載

mount掛載選項(xiàng)

-o noexec :不可執(zhí)行

-o nosuid :

SUID:如果一個(gè)可執(zhí)行文件對(duì)于所有用戶有x權(quán)限。而且設(shè)置了suid,那么給文件在執(zhí)行期間就具有了屬主的的權(quán)限

8、合理掛載文件系統(tǒng)

/etc/fstab中的defaults是掛載選項(xiàng),

可以添加ro(只讀)等限制

9、文件加鎖、解鎖

把/etc/hosts變成絕對(duì)只讀文件

把/etc/hosts變成只能追加內(nèi)容的文件

  1. # chattr +a /etc/hosts 
  2. # chattr +/- i/a 
  3. # lsattr /etc/hosts 

+a:追加

+i:只讀(一成不變的)

(change attribute + immutable)

(change attribute + append only)

10、tty終端控制

配置文件 /etc/sysconfig/init

  1. ACTIVE_CONSOLES=/dev/tty[1-6]//默認(rèn)允許使用1-6個(gè)tty終端 

立即禁止普通用戶登錄

  1. # touch /etc/nologin 

默認(rèn)是沒有這個(gè)文件的,創(chuàng)建一個(gè)空文件之后,普通用戶是無法登陸的,只允許root從指定的幾個(gè)終端登錄

配置文件 /etc/securetty

11、偽裝終端登陸提示,防止系統(tǒng)版本信息泄漏

  1. #vim /etc/issue//本地登陸提示信息  
  2. /etc/issue.net//網(wǎng)絡(luò)登陸提示信息,如telnet 

12、禁止Ctrl+Alt+Del重啟

配置文件:/etc/init/control-alt-delete.conf

  1. [root@svr1 ~]# vim /etc/init/control-alt-delete.conf  
  2. # start on control-alt-delete//注釋掉此行即可  
  3. exec /sbin/shutdown -r now .. .. 

13、GRUB引導(dǎo)控制

引導(dǎo)設(shè)密的作用:

-- 限制修改啟動(dòng)參數(shù)

-- 限制進(jìn)入系統(tǒng)

密碼設(shè)置方法:

-- passwd --md5 加密的密碼串

-- 或者,passwd 明文密碼串

  1. [root@svr1 ~]# grub-md5-crypt//生成MD5加密的密碼串 
  2.  
  3. [root@svr1 ~]# vim /boot/grub/grub.conf 
  4.  
  5. default=0 
  6.  
  7. timeout=3 
  8.  
  9. password --md5 $1$tt3gH1$8nZtL70J/Gv/dAaUm/1 
  10.  
  11. title Red Hat Enterprise Linux (2.6.32-358.el6.x86_64) 
  12.  
  13. root (hd0,0) 
  14.  
  15. kernel /vmlinuz-2.6.32-358.el6.x86_64 .. .. 
  16.  
  17. initrd /initramfs-2.6.32-358.el6.x86_64.img 

14、sudo

管理員需要讓tom和Alice管理用戶的創(chuàng)建、刪除、修改、設(shè)置密碼操

作。但是又不能把root密碼告訴他們。

# visudo #建議用visudo命令,因?yàn)橛姓Z法檢查;也可以用vim 編輯/etc/sudoers

  1. [root@svr1 ~]# grub-md5-crypt//生成MD5加密的密碼串 
  2. [root@svr1 ~]# vim /boot/grub/grub.conf 
  3. default=0 
  4. timeout=3 
  5. password --md5 $1$tt3gH1$8nZtL70J/Gv/dAaUm/1 
  6. title Red Hat Enterprise Linux (2.6.32-358.el6.x86_64) 
  7. root (hd0,0) 
  8. kernel /vmlinuz-2.6.32-358.el6.x86_64 .. .. 
  9. initrd /initramfs-2.6.32-358.el6.x86_64.img 

15、初始化操作系統(tǒng)

# touch /.unconfigured #重啟之后系統(tǒng)會(huì)要求你重新修改密碼,配置ip地址

# reboot

# 重啟之后/.unconfigured文件會(huì)消失

16、安全使用程序和服務(wù)

禁用非必要的系統(tǒng)服務(wù)

  1. #ntsysv 

關(guān)閉像NetworkManager這樣的系統(tǒng)服務(wù)或者用chkconfig

  1. # chkconfig NetworkManager off 

17.tty終端控制

允許啟用哪些tty終端

配置文件:/etc/sysconfig/init

  1. ACTIVE_CONSOLES=/dev/tty[1-6] 

立即禁止普通用戶登錄

編輯/etc/nologin,把需要禁止的用戶名寫進(jìn)去;注意文件默認(rèn)是不存在的,需要手動(dòng)創(chuàng)建

只允許root從指定的幾個(gè)終端登錄

配置文件:/etc/securetty

18.偽裝終端登錄提示

配置文件:/etc/issue . /etc/issue.net

避免泄漏系統(tǒng)和內(nèi)核信息

19.利用pam機(jī)制:

例一:只有wheel組的成員才可以切換成root用戶

  1. # vim /etc/pam.d/su ->打開auth required 這行的注釋 

以tom身份登陸,執(zhí)行su –操作,即使輸入正確的root密碼,也不能登陸

  1. # usermod -aG wheel tom ->把tom加入到wheel組 

再次執(zhí)行su –操作,tom可以切換成root用戶

例二:禁止tom從tty2登陸

  1. # vim /etc/pam.d/login ,加入下面一行 
  2.  
  3. account required pam_access.so 
  4.  
  5. # vim /etc/security/access.conf ,尾部增加 
  6.  
  7. - : tom : tty2 

例三:只允許tom用戶打開兩個(gè)文件

查看/etc/pam.d/system-auth中包含

session required pam_limits.so

# vim /etc/security/limits.conf ,尾部增加

  1. tom hard nofile 2 

不管是切換成為tom,還是以tom身份登陸 ,都被禁止。

例四:創(chuàng)建文件/etc/vsftpd/ftpgrps,該文件中的組不能訪問ftp

  1. # groupadd denyftp 
  2.  
  3. # usermod -aG denyftp tom 
  4.  
  5. # echo ‘denyftp’ > /etc/vsftpd/ftpgrps 
  6.  
  7. # vim /etc/pam.d/vsftpd ,尾部增加 
  8.  
  9. auth required pam_listfile.so item=group sense=deny file=/etc/vsftpd/ftpgrps onerr=succeed 
  10.  
  11. 驗(yàn)證,tom登陸ftp,登陸不成功,檢查/var/log/secure日志 

 

責(zé)任編輯:武曉燕 來源: 今日頭條
Linux服務(wù)器安全
相關(guān)推薦

2015-08-05 09:35:38

Bastille服務(wù)器安全

2012-05-08 13:59:23

2010-08-03 09:17:00

2021-12-19 22:44:16

Linux安全服務(wù)器

2009-02-16 16:13:00

IIS服務(wù)器服務(wù)器安全

2010-11-04 15:32:05

SecSSM服務(wù)器安全網(wǎng)神

2018-08-28 09:12:58

LinuxPHP服務(wù)器

2009-07-24 18:05:31

2012-11-26 09:48:50

Linux服務(wù)器

2019-10-12 13:33:47

Windows服務(wù)器主機(jī)加固服務(wù)器安全

2018-01-31 11:20:48

2024-01-10 17:24:00

2010-01-15 09:46:24

2010-06-02 13:29:55

2022-06-14 23:34:10

Linux安全服務(wù)器

2011-11-21 16:32:19

2009-01-23 21:33:00

2023-06-26 14:19:35

2011-03-21 13:10:15

2019-04-30 10:27:46

無服務(wù)器云計(jì)算安全
點(diǎn)贊
收藏

51CTO技術(shù)棧公眾號(hào)