Linux 安全加固

鎖定不必要的賬號:

passwd -l aa
passwd -u xxx

密碼策略

/etc/login.defs
PASS_MAX_DAYS 90
PASS_MIN_DAYS 0
PASS_WARN_AGE 7
PASS_MIN_LEN 9

檢查空密碼 awk -F: '(2 == "") { print1 }' /etc/shadow

禁用不必要的服務(wù)

runlevel
chkconfig --list
chkconfig xx on/off

vi /etc/profile
umask=022
--
ssh
AllowUsers *@192.168.1.0 xx
PermitRootLogin no
banner NONE

注銷時間

/etc/profile
TMOUT=600
HISTSIZE=5
HISTFILESIZE=5

1始腾、刪除用戶:operator lp shutdown halt games gopher
刪除用戶組:lp uucp games dip
2、查看是否有空密碼:awk -F: ‘(2 == “”) { print1 }’ /etc/shadow
3达舒、檢查是否有其他賬號UID為0:
awk -F: '(3==0){print1}' /etc/passwd
4瞎访、是否有用戶目錄下的.文件是其他人可以讀寫的
for dir in \

awk -F: ‘($3 >= 500) { print $6 }’ /etc/passwd

do

for file in $dir/.[A-Za-z0-9]*

do

if [ -f $file ]; then

chmod o-w $file

fi

done

done
5腻贰、設(shè)置umask
6、 vi /etc/login.defs
PASS_MAX_DAYS 99999
PASS_MIN_DAYS 0
PASS_MIN_LEN 5
PASS_WARN_AGE 7
7扒秸、限制su的用戶
限制能夠su為root 的用戶:#vi /etc/pam.d/su
在文件頭部添加下面這樣的一行

auth required pam_wheel.so use_uid

這樣播演,只有wheel組的用戶可以su到root
操作樣例:

usermod -G10 test 將test用戶加入到wheel組

8、修改自動注銷
vi /etc/profile
TMOUT=600
9鸦采、設(shè)置歷史命令保留條數(shù):
vi /etc/profile
HISTSIZE=5
10宾巍、vi /etc/host.conf
nospoof on

限制 at/cron給授權(quán)的用戶:
cd /etc/

rm -f cron.deny at.deny

echo root >cron.allow

echo root >at.allow

chown root:root cron.allow at.allow

chmod 400 cron.allow at.allow
Crontab文件限制訪問權(quán)限:
chown root:root /etc/crontab

chmod 400 /etc/crontab

chown -R root:root /var/spool/cron

chmod -R go-rwx /var/spool/cron

chown -R root:root /etc/cron.*

chmod -R go-rwx /etc/cron.*
建立恰當?shù)木鎎anner:
echo “Authorized uses only. All activity may be \

monitored and reported.” >>/etc/motd

chown root:root /etc/motd

chmod 644 /etc/motd

echo “Authorized uses only. All activity may be \

monitored and reported.” >> /etc/issue

echo “Authorized uses only. All activity may be \

monitored and reported.” >> /etc/issue.net
chown root:root /etc/sysctl.conf
chmod 600 /etc/sysctl.conf
chkconfig postfix off
--
|
設(shè)置項 | 注釋: |
| 1 | 配置空閑登出的超時間隔:

ClientAliveInterval 300

ClientAliveCountMax 0

| Vi /etc/ssh/sshd_config |
| 2 | 禁用 .rhosts 文件

IgnoreRhosts yes

| Vi /etc/ssh/sshd_config |
| 3 | 禁用基于主機的認證

HostbasedAuthentication no

| Vi /etc/ssh/sshd_config |
| 4 | 禁止 root 帳號通過 SSH 登錄

PermitRootLogin no

| Vi /etc/ssh/sshd_config |
| 5 | 用警告的 Banner

Banner /etc/issue

| Vi /etc/ssh/sshd_config |
| 6 | iptables防火墻處理 SSH 端口 # 64906

-A INPUT -s 192.168.1.0/24 -m state –state NEW -p tcp –dport 64906 -j ACCEPT

-A INPUT -s 202.54.1.5/29 -m state –state NEW -p tcp –dport 64906 -j ACCEPT

| 這里僅作為參考,需根據(jù)實際需要調(diào)整參數(shù) |
| 7 | 修改 SSH 端口和限制 IP 綁定:

Port 64906

安裝selinux管理命令

yum -y install policycoreutils-python

修改 port contexts(關(guān)鍵)渔伯,需要對context進行修改

semanage port -a -t ssh_port_t -p tcp 64906

semanage port -l | grep ssh —-查看當前SElinux 允許的ssh端口

| Vi /etc/ssh/sshd_config

僅作為參考顶霞,需根據(jù)實際需要調(diào)整參數(shù)。

|
| 8 | 禁用空密碼:

PermitEmptyPasswords no

| 禁止帳號使用空密碼進行遠程登錄SSH |
| 9 | 記錄日志:

LogLevel INFO

| 確保在 sshd_config 中將日志級別 LogLevel 設(shè)置為 INFO 或者 DEBUG锣吼,可通過 logwatch or

logcheck 來閱讀日志选浑。

|
| 10 | 重啟SSH

systemctl restart sshd.service

|

部署入侵檢測工具:
AIDE

?著作權(quán)歸作者所有,轉(zhuǎn)載或內(nèi)容合作請聯(lián)系作者
  • 人面猴
    序言:七十年代末,一起剝皮案震驚了整個濱河市玄叠,隨后出現(xiàn)的幾起案子古徒,更是在濱河造成了極大的恐慌,老刑警劉巖读恃,帶你破解...
    沈念sama閱讀 211,376評論 6 491
  • 死咒
    序言:濱河連續(xù)發(fā)生了三起死亡事件隧膘,死亡現(xiàn)場離奇詭異代态,居然都是意外死亡,警方通過查閱死者的電腦和手機疹吃,發(fā)現(xiàn)死者居然都...
    沈念sama閱讀 90,126評論 2 385
  • 救了他兩次的神仙讓他今天三更去死
    文/潘曉璐 我一進店門柬泽,熙熙樓的掌柜王于貴愁眉苦臉地迎上來行施,“玉大人,你說我怎么就攤上這事航攒∧彀冢” “怎么了哄酝?”我有些...
    開封第一講書人閱讀 156,966評論 0 347
  • 道士緝兇錄:失蹤的賣姜人
    文/不壞的土叔 我叫張陵崇呵,是天一觀的道長江掩。 經(jīng)常有香客問我,道長核畴,這世上最難降的妖魔是什么膝但? 我笑而不...
    開封第一講書人閱讀 56,432評論 1 283
  • ?港島之戀(遺憾婚禮)
    正文 為了忘掉前任,我火速辦了婚禮膛檀,結(jié)果婚禮上锰镀,老公的妹妹穿的比我還像新娘。我一直安慰自己咖刃,他們只是感情好,可當我...
    茶點故事閱讀 65,519評論 6 385
  • 惡毒庶女頂嫁案:這布局不是一般人想出來的
    文/花漫 我一把揭開白布憾筏。 她就那樣靜靜地躺著嚎杨,像睡著了一般。 火紅的嫁衣襯著肌膚如雪氧腰。 梳的紋絲不亂的頭發(fā)上枫浙,一...
    開封第一講書人閱讀 49,792評論 1 290
  • 城市分裂傳說
    那天,我揣著相機與錄音古拴,去河邊找鬼箩帚。 笑死,一個胖子當著我的面吹牛黄痪,可吹牛的內(nèi)容都是我干的紧帕。 我是一名探鬼主播,決...
    沈念sama閱讀 38,933評論 3 406
  • 雙鴛鴦連環(huán)套:你想象不到人心有多黑
    文/蒼蘭香墨 我猛地睜開眼桅打,長吁一口氣:“原來是場噩夢啊……” “哼是嗜!你這毒婦竟也來了?” 一聲冷哼從身側(cè)響起挺尾,我...
    開封第一講書人閱讀 37,701評論 0 266
  • 萬榮殺人案實錄
    序言:老撾萬榮一對情侶失蹤鹅搪,失蹤者是張志新(化名)和其女友劉穎,沒想到半個月后遭铺,有當?shù)厝嗽跇淞掷锇l(fā)現(xiàn)了一具尸體丽柿,經(jīng)...
    沈念sama閱讀 44,143評論 1 303
  • ?護林員之死
    正文 獨居荒郊野嶺守林人離奇死亡恢准,尸身上長有42處帶血的膿包…… 初始之章·張勛 以下內(nèi)容為張勛視角 年9月15日...
    茶點故事閱讀 36,488評論 2 327
  • ?白月光啟示錄
    正文 我和宋清朗相戀三年,在試婚紗的時候發(fā)現(xiàn)自己被綠了甫题。 大學時的朋友給我發(fā)了我未婚夫和他白月光在一起吃飯的照片馁筐。...
    茶點故事閱讀 38,626評論 1 340
  • 活死人
    序言:一個原本活蹦亂跳的男人離奇死亡,死狀恐怖幔睬,靈堂內(nèi)的尸體忽然破棺而出眯漩,到底是詐尸還是另有隱情,我是刑警寧澤麻顶,帶...
    沈念sama閱讀 34,292評論 4 329
  • ?日本核電站爆炸內(nèi)幕
    正文 年R本政府宣布赦抖,位于F島的核電站,受9級特大地震影響辅肾,放射性物質(zhì)發(fā)生泄漏队萤。R本人自食惡果不足惜,卻給世界環(huán)境...
    茶點故事閱讀 39,896評論 3 313
  • 男人毒藥:我在死后第九天來索命
    文/蒙蒙 一矫钓、第九天 我趴在偏房一處隱蔽的房頂上張望要尔。 院中可真熱鬧,春花似錦新娜、人聲如沸赵辕。這莊子的主人今日做“春日...
    開封第一講書人閱讀 30,742評論 0 21
  • 一樁弒父案概龄,背后竟有這般陰謀
    文/蒼蘭香墨 我抬頭看了看天上的太陽还惠。三九已至,卻和暖如春私杜,著一層夾襖步出監(jiān)牢的瞬間蚕键,已是汗流浹背。 一陣腳步聲響...
    開封第一講書人閱讀 31,977評論 1 265
  • 情欲美人皮
    我被黑心中介騙來泰國打工衰粹, 沒想到剛下飛機就差點兒被人妖公主榨干…… 1. 我叫王不留锣光,地道東北人。 一個月前我還...
    沈念sama閱讀 46,324評論 2 360
  • 代替公主和親
    正文 我出身青樓铝耻,卻偏偏與公主長得像誊爹,于是被迫代替她去往敵國和親。 傳聞我的和親對象是個殘疾皇子田篇,可洞房花燭夜當晚...
    茶點故事閱讀 43,494評論 2 348

推薦閱讀更多精彩內(nèi)容

  • 一替废、用戶帳號和環(huán)境……………………………………………………………. 2 二、系統(tǒng)訪問認證和授權(quán)…………………………...
    大福技術(shù)閱讀 5,946評論 0 5
  • 系統(tǒng)巡檢腳本:Version 2016.08.09 ############################ 系統(tǒng)...
    NamasAmitabha閱讀 1,299評論 0 0
  • Linux習慣問題: 在vim編輯時泊柬,按了ctrl + s后椎镣,再按ctrl + q就可以繼續(xù)執(zhí)行了。ctrl + ...
    光著腳的鞋閱讀 4,491評論 0 16
  • 畏懼死亡比死亡更可怕兽赁∽创穑——赤井秀一《名偵探柯南》 死亡其實不可怕冷守,可怕的是我們?nèi)绾慰创_@觀點在動畫片柯南里面都...
    楚浛閱讀 518評論 0 5
  • (南汝:這個故事是通過兩個人的內(nèi)心想法寫的惊科,并又所借鑒拍摇,可能寫的不好,寫的有點長馆截,但我就很想寫下它充活。) --我……...
    南宮沉閱讀 215評論 0 2