百度360必应搜狗淘宝本站头条
tomcat 乱码无法与服务器建立安全连接是什么意思sysv-rc-confdocker映射容器目录到宿主机internet explorer 增强的安全配置已启用
当前位置:网站首页 > 技术文章 > 正文

Linux操作系统加固建议

nanshan 2024-11-21 18:51 21 浏览 0 评论

1.1.1 口令锁定策略
1、执行备份

    (1)、redhat执行备份:
        #cp -p /etc/pam.d/system-auth /etc/pam.d/system-auth_bak

    (2)、SUSE9:
        #cp -p /etc/pam.d/passwd /etc/pam.d/passwd.bak

    (3)、SUSE10:
        #cp -p /etc/pam.d/common-password /etc/pam.d/common-password.bak

2、修改策略设,编辑文件/etc/pam.d/system-auth(SUSE:/etc/pam.d/passwd)增加如下内容:

    auth required pam_tally2.so deny=5 onerr=fail no_magic_root unlock_time=180    #unlock_time单位为秒
    account  required  pam_tally2.so            #(redhat5.1以上版本支持 pam_tally2.so,其他版本使用pam_tally.so)

1.1.2 口令生存期
1、执行备份:

    #cp -p /etc/login.defs /etc/login.defs_bak

2、修改策略设置,编辑文件/etc/login.defs(vi /etc/login.defs),在文件中加入如下内容(如果存在则修改,不存在则添加):

    PASS_MAX_DAYS     90
    PASS_MIN_DAYS      10
    PASS_WARN_AGE    7

1.1.3 口令复杂度
1、redhat系统
编辑文件/etc/pam.d/system-auth,在文件中找到如下内容:

    password requisite  pam_cracklib.so,将其修改为:
    password requisite  pam_cracklib.so try_first_pass retry=3 dcredit=-1 lcredit=-1 ucredit=-1 ocredit=-1 minlen=8         #至少包含一个数字、一个小写字母、一个大写字母、一个特殊字符、且密码长度>=8

2、suse9编辑/etc/pam.d/passwd、suse10以上编辑/etc/pam.d/common-password,在文件中加入如下内容(如果文件中存在password的行请首先注释掉):

    password required       pam_pwcheck.so  nullok
    password requisite      pam_cracklib.so dcredit=-1 lcredit=-1 ucredit=-1 ocredit=-1 minlen=8 use_authtok
    password required       pam_unix2.so    nullok use_first_pass use_authtok

1.1.4 删除无关帐号(需要锁定和删除的用户shell域设置的个数)
1、如果以下用户(lp|sync|halt|news|uucp|operator|games|gopher|smmsp|nfsnobody|nobody)没有被删除或锁定,可以使用如下命令对其进行操作:

    (1)、删除用户:
        #userdel username

    (2)、锁定用户:
        #passwd -l username        #锁定用户,只有具备超级用户权限的使用者方可使用。
            #passwd –d username      #解锁用户,解锁后原有密码失效,登录设置新密码才能登录。
        #passwd -u username       #解锁用户后,原密码仍然有效。

    (3)、修改用户shell域为/bin/false
        #usermod -s /bin/false username        #命令来更改相应用户的shell为/bin/false,其中[name]为要修改的具体用户名。

1.1.5 口令重复次数限制
1、执行备份

    #cp -p /etc/pam.d/system-auth /etc/pam.d/system-auth.bak
    #cp -p /etc/pam.d/passwd /etc/pam.d/passwd.bak
    #cp -p /etc/pam.d/common-password /etc/pam.d/common-password.bak

2、创建文件/etc/security/opasswd用于存储旧密码,并设置权限。

    #touch /etc/security/opasswd
    #chown root:root /etc/security/opasswd
    #chmod 600 /etc/security/opasswd

3、修改策略设置

    #vim /etc/pam.d/system-auth((SUSE9:/etc/pam.d/passwd、SUSE10以上/etc/pam.d/common-password)在类似password  sufficient pam_unix.so所在行末尾增加remember=5,中间以空格隔开.如果没有则新增,例如:
    password    sufficient    pam_unix.so md5 shadow nullok try_first_pass use_authtok remember=5

1.1.6 文件与目录缺省权限控制

1、首先对/etc/profile进行备份:
    #cp /etc/profile /etc/profile.bak

2、编辑文件/etc/profile,在文件末尾加上如下内容:
    umask 027

3、执行以下命令让配置生效:
    #source  /etc/profile

1.1.7 修改SSH的Banner警告信息

1、如果此项检查不合规,执行以下步骤进行修复。
    #touch /etc/ssh_banner
    #chown bin:bin /etc/ssh_banner
    #chmod 644 /etc/ssh_banner
    #echo " Authorized only. All activity will be monitored and reported " > /etc/ssh_banner
    可根据实际需要修改该文件的内容。
2、修改/etc/ssh/sshd_config文件,添加如下行:
    Banner /etc/ssh_banner
3、重启sshd服务:
systemctl restart sshd.service
#/etc/init.d/sshd restart

1.1.8 启用远程日志功能

1、linux
    编辑文件 /etc/syslog.conf或者/etc/rsyslog.conf,增加如下内容:
        *.*           @<日志服务器ip或者域名>

2、suse
    编辑文件/etc/syslog-ng/syslog-ng.conf,增加如下内容:
        destination logserver { udp("192.168.56.168" port(514)); };
        log { source(src); destination(logserver); };

        #日志服务器ip视实际情况来确定。
3、重启syslog服务
#/etc/init.d/syslog stop
#/etc/init.d/syslog start

1.1.9 记录安全事件日志

1、redhat5.x之前编辑/etc/syslog.conf,在文件中加入如下内容:
    *.err;kern.debug;daemon.notice /var/adm/messages,其中/var/adm/messages为日志文件。

    (1)、如果该文件不存在,则创建该文件,命令为:
        #touch /var/adm/messages

    (2)、修改权限为666,命令为:
        #chmod 666 /var/adm/messages

    (3)、重启日志服务:
        #/etc/init.d/syslog restart

2、redhat6.x编辑/etc/rsyslog.conf,在文件中加入如下内容:
    *.err;kern.debug;daemon.notice /var/adm/messages,其中/var/adm/messages为日志文件。

    (1)、如果该文件不存在,则创建该文件,命令为:
        #touch /var/adm/messages

    (2)、修改权限为666,命令为:
        #chmod 666 /var/adm/messages

    (3)、重启日志服务:
systemctl restart rsyslog.service

        #/etc/init.d/syslog restart
3、SUSE编辑文件/etc/syslog-ng/syslog-ng.conf,在文件中加入如下内容:
    filter f_msgs { level(err) or facility(kern) and level(debug) or facility(daemon) and level(notice); };
    destination msgs { file("/var/adm/msgs"); };
    log { source(src); filter(f_msgs); destination(msgs); }; 其中/var/adm/msgs为日志文件。

    (1)、如果该文件不存在,则创建该文件,命令为:
        #touch /var/adm/msgs

    (2)、修改权限为666,命令为:
        #chmod 666 /var/adm/msgs

    (3)、重启日志服务:
        #/etc/init.d/syslog restart

1.1.10限制root用户SSH远程登录(禁用root用户远程访问系统)

1、执行备份:
    #cp -p /etc/ssh/sshd_config /etc/ssh/sshd_config_bak

2、新建一个普通用户并设置高强度密码(防止设备上只存在root用户可用时,无法远程访问):
    #useradd username
3、禁止root用户远程登录系统
    (1)、编辑文件/etc/ssh/sshd_config(vi /etc/ssh/sshd_config),修改PermitRootLogin值为no并去掉注释。
        PermitRootLogin no                      #则禁止了root从ssh登录。

    (2)、重启SSH服务
systemctl restart sshd.service

        #/etc/init.d/sshd restart

4、修改SSH协议版本
    (1)、编辑文件/etc/ssh/sshd_config(vi /etc/ssh/sshd_config),修改Protocol的值为2并去掉注释。
        Protocol 2

    (2)、重启ssh服务
systemctl restart sshd.service

1.1.11限制root用户SSH远程登录(ssh协议使用版本2)

1、执行备份:
    #cp -p /etc/ssh/sshd_config /etc/ssh/sshd_config_bak

2、新建一个普通用户并设置高强度密码(防止设备上只存在root用户可用时,无法远程访问):
    #useradd username
    #passwd username

3、禁止root用户远程登录系统
    (1)、编辑文件/etc/ssh/sshd_config(vi /etc/ssh/sshd_config),修改PermitRootLogin值为no并去掉注释。
        PermitRootLogin no                      #则禁止了root从ssh登录。

    (2)、重启SSH服务
systemctl restart sshd.service

        #/etc/init.d/sshd restart
4、修改SSH协议版本
    (1)、编辑文件/etc/ssh/sshd_config(vi /etc/ssh/sshd_config),修改Protocol的值为2并去掉注释。
        Protocol 2

    (2)、重启ssh服务
systemctl restart sshd.service

 #/etc/init.d/sshd restart

1.1.12使用SSH协议进行远程维护(ssh服务状态)

1、关闭TELNET服务(如果设备安装了TELNET服务则执行以下操作关闭,否则无需操作):
    (1)、备份
        #cp -p /etc/xinetd.d/telnet /etc/xinetd.d/telnet_bak

    (2)、编辑文件/etc/xinetd.d/telnet(vi /etc/xinetd.d/telnet),把disable项改为yes,即disable = yes。
    (3)、执行以下命令重启xinetd服务。
        #service xinetd restart

2、开启SSH服务:
    (1)、安装SSH软件包。
    (2)、通过以下命令启动ssh服务:
        #/etc/init.d/sshd start

1.1.13登陆超时时间设置

1、执行备份
    #cp -p /etc/profile /etc/profile_bak

2、在/etc/profile文件增加以下两行(如果存在则修改,否则手工添加):
    #vi /etc/profile
    TMOUT=300                                  #TMOUT按秒计算
    export TMOUT

1.1.14系统core dump状态(/etc/security/limits.conf)

1、编辑文件/etc/security/limits.conf(vi /etc/security/limits.conf),在文件末尾加入如下两行(存在则修改,不存在则新增):
    * soft core 0
    * hard core 0

1.1.15修改SSH的Banner信息

1、修改文件/etc/motd的内容,如没有该文件,则创建它:
    #touch /etc/motd

2、使用如下命令在文件/etc/motd中添加banner信息。
   ### #echo " Authorized users only. All activity may be monitored and reported " > /etc/motd
   vim  /etc/motd
   
   Access denied

1.1.16控制远程访问的IP地址(allowno)

1、执行备份:
    #cp -p /etc/hosts.allow /etc/hosts.allow_bak

2、编辑/etc/hosts.allow文件,增加一行 service: 允许访问的IP(service为服务,例如sshd),举例如下:all:192.168.4.44:allow    #允许单个IP访问所有服务进程
    sshd:192.168.1.*:allow    #允许192.168.1.0的整个网段访问SSH服务进程

1.1.17控制远程访问的IP地址(denyno)

1、执行备份:
    #cp -p /etc/hosts.deny /etc/hosts.deny_bak

2、编辑文件/etc/hosts.deny增加一行(deny优先级高于allow)
    all:all

                        #拒绝一切远程访问配合文件hosts.allow使用。

1.1.18配置NTP(ntp服务状态)

1、编辑ntp 的配置文件:
    #vi /etc/ntp.conf  在server一行添加ntp服务器的IP地址

2、启动ntpd服务:
    #/etc/init.d/ntpd start    #suse9启动ntp服务为:/etc/init.d/xntpd start

1.1.19配置NTP( 为目标主机配置ntp服务器的个数)

1、编辑ntp 的配置文件:
    #vi /etc/ntp.conf  在server一行添加ntp服务器的IP地址

2、启动ntpd服务:
    #/etc/init.d/ntpd start    #suse9启动ntp服务为:/etc/init.d/xntpd start

1.1.20禁止IP源路由
如果此项检查失败,请执行以下命令进行修复:

vim /etc/rc.d/rc.local  添加以下内容
    #for f in /proc/sys/net/ipv4/conf/*/accept_source_route
    do
       echo 0 > $f
    done

1.1.21更改主机解析地址的顺序

1、编辑/etc/host.conf文件
    #vi /etc/host.conf,在空白处加入下面三行:
    order hosts,bind       #第一项设置首先通过DNS解析IP地址,然后通过hosts文件解析。
    multi on                  #第二项设置检测是否"/etc/hosts"文件中的主机是否拥有多个IP地址(比如有多个以太口网卡)。
    nospoof on             #第三项设置说明要注意对本机未经许可的IP欺骗。

1.1.22更改主机解析地址的顺序

1、编辑/etc/host.conf文件
    #vi /etc/host.conf,在空白处加入下面三行:
    order hosts,bind       #第一项设置首先通过DNS解析IP地址,然后通过hosts文件解析。
    multi on                  #第二项设置检测是否"/etc/hosts"文件中的主机是否拥有多个IP地址(比如有多个以太口网卡)。
    nospoof on             #第三项设置说明要注意对本机未经许可的IP欺骗。

1.1.23历史命令设置

1、编辑文件/etc/profile,在文件中加入如下两行(存在则修改):
    HISTFILESIZE=5
    HISTSIZE=5
2、执行以下命令让配置生效
    #source /etc/profile

相关推荐

如何为MySQL服务器和客户机启用SSL?

用户想要与MySQL服务器建立一条安全连接时,常常依赖VPN隧道或SSH隧道。不过,获得MySQL连接的另一个办法是,启用MySQL服务器上的SSL封装器(SSLwrapper)。这每一种方法各有其...

Mysql5.7 出现大量 unauthenticated user

线上环境mysql5.7突然出现大量unauthenticateduser,进mysql,showprocesslist;解决办法有:在/etc/hosts中添加客户端ip,如192.16...

MySQL 在 Windows 系统下的安装(mysql安装教程windows)

更多技术文章MySQL在Windows系统下的安装1.下载mysql和Framework链接链接:百度网盘请输入提取码提取码:6w3p双击mysql-installer-communit...

MySql5.7.21.zip绿色版安装(mysql数据库绿色版安装)

1、去网上下载满足系统要求的版本(mysql-5.7.21-winx64.zip)2、直接解压3、mysql的初始化(1)以管理员身份运行cmd,在mysql中的bin目录下shift+右键-在...

MySQL(8.0)中文全文检索 (亲测有效)

在一堆文字中找到含有关键字的应用。当然也可以用以下语句实现:SELECT*FROM<表名>WHERE<字段名>like‘%ABC%’但是它的效率太低,是全盘扫描。...

新手教程,Linux系统下MySQL的安装

看了两三个教程。终于在哔哩哔哩找到一个简单高效的教程,成功安装,up主名叫bili逍遥bili,感兴趣可以去看看。下面这个是我总结的安装方法环境:CentOS764位1.下载安装包,个人觉得在...

麒麟服务器操作系统安装 MySQL 8 实战指南

原文连接:「链接」Hello,大家好啊,今天给大家带来一篇麒麟服务器操作系统上安装MySQL8的文章,欢迎大家分享点赞,点个在看和关注吧!MySQL作为主流开源数据库之一,被广泛应用于各种业务...

用Python玩转MySQL的全攻略,从环境搭建到项目实战全解析

这是一篇关于“MySQL数据库入门实战-Python版”的教程,结合了案例实战分析,帮助初学者快速掌握如何使用Python操作MySQL数据库。一、环境准备1.安装Python访问Pytho...

安装MySQL(中标麒麟 安装mysql)

安装MySQL注意:一定要用root用户操作如下步骤;先卸载MySQL再安装1.安装包准备(1)查看MySQL是否安装rpm-qa|grepmysql(2)如果安装了MySQL,就先卸载rpm-...

Mysql最全笔记,快速入门,干货满满,爆肝

目录一、MySQL的重要性二、MySQL介绍三、软件的服务架构四、MySQL的安装五、SQL语句六、数据库相关(DDL)七、表相关八、DML相关(表中数据)九、DQL(重点)十、数据完...

MAC电脑安装MySQL操作步骤(mac安装mysqldb)

1、在官网下载MySQL:https://dev.mysql.com/downloads/mysql/根据自己的macOS版本,选择适配的MySQL版本根据自己需求选择相应的安装包,我这里选择macO...

mysql主从(mysql主从切换)

1、本章面试题什么是mysql主从,主从有什么好处什么是读写分离,有什么好处,使用mycat如何实现2、知识点2.1、课程回顾dubboORM->MVC->RPC->SOApro...

【linux学习】以MySQL为例,带你了解数据库

做运维的小伙伴在日常工作中难免需要接触到数据库,不管是MySQL,mariadb,达梦还是瀚高等其实命令都差不多,下面我就以MySQL为例带大家一起来了解下数据库。有兴趣的小伙伴不妨评论区一起交流下...

玩玩WordPress - 环境简介(0)(玩玩网络科技有限公司)

简介提到开源博客系统,一般都会直接想到WordPress!WordPress是使用PHP开发的,数据库使用的是MySQL,一般会在Linux上运行,Nginx作为前端。这时候就需要有一套LNMP(Li...

服务器常用端口都有哪些?(服务器端使用的端口号范围)

下面为大家介绍一下,服务器常用的一些默认端口,以及他们的作用:  21:FTP服务所开放的端口,用于上传、下载文件。  22:SSH端口,用于通过命令行模式远程连接Linux服务器或vps。  23:...

取消回复欢迎 发表评论:

一周热门
最近发表
标签列表