linux加固命令 linux加固手段

系統(tǒng)加固之Linux安全加固

Linux系統(tǒng)基本操作

創(chuàng)新互聯(lián)是一家專業(yè)提供慈溪企業(yè)網(wǎng)站建設(shè),專注與網(wǎng)站設(shè)計(jì)、網(wǎng)站制作、H5開發(fā)、小程序制作等業(yè)務(wù)。10年已為慈溪眾多企業(yè)、政府機(jī)構(gòu)等服務(wù)。創(chuàng)新互聯(lián)專業(yè)網(wǎng)站制作公司優(yōu)惠進(jìn)行中。

文件結(jié)構(gòu)圖及關(guān)鍵文件功能介紹

Linux文件結(jié)構(gòu)

Linux文件結(jié)構(gòu)圖

二級(jí)目錄

| 目錄 | 功能 |

| /bin | 放置的是在單人維護(hù)模式下能被操作的指令，在/bin底下的指令可以被root與一般賬號(hào)所使用 |

| /boot | 這個(gè)目錄只要在放置開機(jī)會(huì)使用到的文件，包括 Linux核心文件以及開機(jī)選單與開機(jī)所需配置的文件等等 |

| /dev | 在Linux系統(tǒng)上，任何裝置與接口設(shè)備都是以文件的形態(tài)存在于這個(gè)目錄當(dāng)中的 |

| /etc |

系統(tǒng)主要的配置文件幾乎都放在這個(gè)目錄內(nèi)，例如人員賬號(hào)密碼各種服務(wù)的啟動(dòng)檔，系統(tǒng)變量配置等

|

| /home | 這個(gè)是系統(tǒng)默認(rèn)的用戶家目錄（home directory) |

| /lib | /lib放置的則是在開機(jī)時(shí)會(huì)用到的函式庫(kù)，以及在/lib或/sbin底下的指令會(huì)呼叫的函式庫(kù) |

| /media | /media底下放置的是可以移出的裝置，包括軟盤、光盤、DVD等等裝置都掛載于此 |

| /opt | 給第三方協(xié)議軟件放置的目錄 |

| /root | 系統(tǒng)管理員（root）的家目錄 |

| /sbin | 放置/sbin底下的為開機(jī)過(guò)程中所需要的，里面包括了開機(jī)、修復(fù)、還原系統(tǒng)所需的指令。 |

| /srv | srv可視為[service]的縮寫，是一些網(wǎng)絡(luò)服務(wù)啟動(dòng)之后，這些服務(wù)所需要取用的數(shù)據(jù)目錄 |

| /tmp | 這是讓一般使用者或是正在執(zhí)行的程序暫時(shí)放置文件的地方 |

文件

賬號(hào)和權(quán)限

系統(tǒng)用戶

超級(jí)管理員 uid=0

系統(tǒng)默認(rèn)用戶 系統(tǒng)程序使用，從不登錄

新建普通用戶 uid大于500

/etc/passwd

/etc/shadow

用戶管理

權(quán)限管理

解析文件權(quán)限

文件系統(tǒng)安全

查看權(quán)限：ls -l

修改權(quán)限：

**chmod **

** chgrp**

設(shè)置合理的初始文件權(quán)限

很奇妙的UMASK:

umask值為0022所對(duì)應(yīng)的默認(rèn)文件和文件夾創(chuàng)建的缺省權(quán)限分別為644和755

文件夾其權(quán)限規(guī)則為：777-022-755

文件其權(quán)限規(guī)則為：777-111-022=644（因?yàn)槲募J(rèn)沒(méi)有執(zhí)行權(quán)限）

修改UMASK值：

1、直接在命令行下 umask xxx(重啟后消失）

2、修改/etc/profile中設(shè)定的umask值

系統(tǒng)加固

鎖定系統(tǒng)中多余的自建賬號(hào)

檢查shadow中空口令賬號(hào)

檢查方法：

加固方法：

使用命令passwd -l 用戶名 鎖定不必要的賬號(hào)

使用命令passwd -u 用戶名解鎖需要恢復(fù)的賬號(hào)

使用命令passwd 用戶名 為用戶設(shè)置密碼

設(shè)置系統(tǒng)密碼策略

執(zhí)行命令查看密碼策略設(shè)置

加固方法：

禁用root之外的超級(jí)用戶

檢測(cè)方法：

awk -F ":" '( 1}' /etc/passwd

加固方法：

** passwd -l 用戶名**

****

限制能夠su為root的用戶

查看是否有auth required /libsecurity/pam_whell.so這樣的配置條目

加固方法：

重要文件加上不可改變屬性

把重要文件加上不可改變屬性

Umask安全

SSH安全：

禁止root用戶進(jìn)行遠(yuǎn)程登陸

檢查方法：

加固方法：

更改服務(wù)端口：

屏蔽SSH登陸banner信息

僅允許SSH協(xié)議版本2

防止誤使用Ctrl+Alt+Del重啟系統(tǒng)

檢查方法：

加固方法：

設(shè)置賬號(hào)鎖定登錄失敗鎖定次數(shù)、鎖定時(shí)間

檢查方法：

修改賬號(hào)TMOUT值，設(shè)置自動(dòng)注銷時(shí)間

檢查方法：

cat /etc/profile | grep TMOUT

加固方法：

vim /etc/profile

增加

TMOUT=600 無(wú)操作600秒后自動(dòng)退出

設(shè)置BASH保留歷史命令的條目

檢查方法：

cat /etc/profile | grep HISTSIZE

加固方法：

vim /etc/profile

修改HISTSIZE=5即保留最新執(zhí)行的5條命令

設(shè)置注銷時(shí)刪除命令記錄

檢查方法：

cat /etc/skel/.bash_logout 增加如下行

rm -f $HOME/.bash_history

這樣，系統(tǒng)中的所有用戶注銷時(shí)都會(huì)刪除其命令記錄，如果只需要針對(duì)某個(gè)特定用戶，，如root用戶進(jìn)行設(shè)置，則可只在該用戶的主目錄下修改/$HOME/.bash_history文件增加相同的一行即可。

設(shè)置系統(tǒng)日志策略配置文件

日志的主要用途是 系統(tǒng)審計(jì) 、監(jiān)測(cè)追蹤和分析。為了保證 Linux 系 統(tǒng)正常運(yùn)行、準(zhǔn)確解決遇到的各種樣統(tǒng)問(wèn)題，認(rèn)真地讀取日志文件是管理員的一項(xiàng)非常重要任務(wù)。

UNIX/ Linux 采用了syslog 工具來(lái)實(shí)現(xiàn)此功能，如果配置正確的 話，所有在主機(jī)上發(fā)生的事情都會(huì)被記錄下來(lái)不管是好還是壞的 。

檢查方法：

cat /etc/profile | grep HISTSIZE

確定syslog服務(wù)是否啟用

查看syslogd的配置，并確認(rèn)日志文件是否存在

阻止系統(tǒng)響應(yīng)任何從外部/內(nèi)部來(lái)的ping請(qǐng)求

加固方法：

echo 1 /proc/sys/net/ipv4/icmp_echo_ignore_all

服務(wù)器安全加固_Linux配置賬戶鎖定策略

使用下面命令，查看系統(tǒng)是否含有pam_tally2.so模塊，如果沒(méi)有就需要使用pam_tally.so模塊，兩個(gè)模塊的使用方法不太一樣，需要區(qū)分開來(lái)。

編輯系統(tǒng)/etc/pam.d/system-auth 文件，一定要在pam_env.so后面添加如下策略參數(shù)：

上面只是限制了從終端su登陸，如果想限制ssh遠(yuǎn)程的話，要改的是/etc/pam.d/sshd這個(gè)文件，添加的內(nèi)容跟上面一樣！

編輯系統(tǒng)/etc/pam.d/sshd文件，注意添加地點(diǎn)在#%PAM-1.0下一行，即第二行添加內(nèi)容

ssh鎖定用戶后查看：

編輯系統(tǒng) /etc/pam.d/login 文件，注意添加地點(diǎn)在#%PAM-1.0的下面,即第二行，添加內(nèi)容

tty登錄鎖定后查看：

編輯 /etc/pam.d/remote文件，注意添加地點(diǎn)在pam_env.so后面,參數(shù)和ssh一致

Linux服務(wù)器加固滿足等保三級(jí)要求

應(yīng)邀回答行業(yè)問(wèn)題

Linux系統(tǒng)廣泛被應(yīng)用在服務(wù)器上，服務(wù)器存儲(chǔ)著公司的業(yè)務(wù)數(shù)據(jù)，對(duì)于互聯(lián)網(wǎng)公司數(shù)據(jù)的安全至關(guān)重要，各方面都要都要以安全為最高優(yōu)先級(jí)，不管是服務(wù)器在云端還在公司局域網(wǎng)內(nèi)，都要慎之又慎。

如果黑客入侵到公司的Linux服務(wù)器上，執(zhí)行下面的命令，好吧，這是要徹底摧毀的節(jié)奏，5分鐘后你只能呵呵的看著服務(wù)器了，為什么要seek呢？給你留個(gè)MBR分區(qū)。

dd if=/dev/zero of=/dev/sda bs=4M seek=1

Linux系統(tǒng)的安全加固可分為系統(tǒng)加固和網(wǎng)絡(luò)加固，每個(gè)企業(yè)的業(yè)務(wù)需求都不一樣，要根據(jù)實(shí)際情況來(lái)配置。比如SSH安全、賬戶弱口令安全、環(huán)境安全、關(guān)閉無(wú)用服務(wù)、開啟防火墻等，已經(jīng)Centos7為例，簡(jiǎn)單說(shuō)下linux系統(tǒng)SSH網(wǎng)絡(luò)安全加固。

SSH安全

將ssh服務(wù)的默認(rèn)端口22修改為其他端口，并限制root用戶登陸，配置firewall允許ssh端口通過(guò)。

[root@api ~]#sed -i 's#Port 22#Port 6022#' /etc/ssh/sshd_config

[root@api ~]#echo 'PermitRootLogin no' /etc/ssh/sshd_config

[root@api ~]# firewall-cmd --zone=public --add-port=6022/tcp --permanent

[root@api ~]# firewall-cmd --reload

限制訪問(wèn)ssh的用戶和IP

[root@api ~]#echo 'AllowUsers NAME' /etc/ssh/sshd_config

[root@api ~]# echo 'sshd:xxx..x.x:allow' /etc/

hosts.allow

[root@api ~]# systemctl restart sshd

禁止ping測(cè)試服務(wù)器，禁止IP偽裝。

[root@api ~]# echo 1 /proc/sys/net/ipv4/icmp_echo_ignore_all

[root@api ~]# echo nospoof on /etc/host.conf

在Centos7以后iptables將被firewall替代，當(dāng)然我們還能夠使用iptables，首先需要?jiǎng)h除firewall后，才能夠使用iptables，技術(shù)總是在進(jìn)步的，老的會(huì)慢慢被替代。

Linux系統(tǒng)安全加固還有很多，想要繼續(xù)可以查閱資料。

（九）Linux系統(tǒng)安全隱患及加固措施

姓名：黃婷?? ?學(xué)號(hào)：19020100410??學(xué)院：電子工程學(xué)院

轉(zhuǎn)自： ;request_id=162848234916780357255732biz_id=0utm_medium=distribute.pc_search_result.none-task-blog-2~all~top_click~default-2-103947313.first_rank_v2_pc_rank_v29utm_term=Linux%E7%B3%BB%E7%BB%9Fspm=1018.2226.3001.4449#t8

【嵌牛導(dǎo)讀】Linux系統(tǒng)安全隱患及加固措施

【嵌牛鼻子】Linux系統(tǒng)? ?安全隱患及加固措施

【嵌牛提問(wèn)】Linux系統(tǒng)如何保護(hù)？

【嵌牛正文】

用戶賬戶以及登錄安全

刪除多余用戶和用戶組。Linux是多用戶操作系統(tǒng)，存在很多種不一樣的角色系統(tǒng)賬號(hào)，當(dāng)安裝完成操作系統(tǒng)之后，系統(tǒng)會(huì)默認(rèn)為未添加許用戶組及用戶，若是部分用戶或是用戶組不需要，應(yīng)當(dāng)立即刪除它們，否則黑客很有可能利用這些賬號(hào)，對(duì)服務(wù)器實(shí)施攻擊。具體保留哪些賬號(hào)，可以依據(jù)服務(wù)器的用途來(lái)決定。

關(guān)閉不需要的系統(tǒng)服務(wù)。操作系統(tǒng)安裝完成之后，其會(huì)在安裝的過(guò)程當(dāng)中，會(huì)自主的啟動(dòng)各種類型的服務(wù)程序內(nèi)容，對(duì)于長(zhǎng)時(shí)間運(yùn)行的服務(wù)器而言，其運(yùn)行的服務(wù)程序越多，則系統(tǒng)的安全性就越低。所以，用戶或是用戶組就需要將一些應(yīng)用不到的服務(wù)程序進(jìn)行關(guān)閉，這對(duì)提升系統(tǒng)的安全性能，有著極大的幫助。

密碼安全策略。在Linux之下，遠(yuǎn)程的登錄系統(tǒng)具備兩種認(rèn)證的形式：即 密鑰 與密碼認(rèn)證。其中，密鑰認(rèn)證的形式，主要是將 公鑰 儲(chǔ)存在遠(yuǎn)程的服務(wù)器之上， 私鑰 存儲(chǔ)在本地。當(dāng)進(jìn)行系統(tǒng)登陸的時(shí)候，再通過(guò)本地的私鑰，以及遠(yuǎn)程的服務(wù)器公鑰，進(jìn)行配對(duì)認(rèn)證的操作，若是認(rèn)證的匹配度一致，則用戶便能夠暢通無(wú)阻的登錄系統(tǒng)。此類認(rèn)證的方式，并不會(huì)受到暴力破解的威脅。與此同時(shí)，只需要確保本地私鑰的安全，使其不會(huì)被黑客所盜取即可，攻擊者便不能夠通過(guò)此類認(rèn)證方式登陸到系統(tǒng)中。所以，推薦使用密鑰方式進(jìn)行系統(tǒng)登陸。

有效應(yīng)用su、 sudo 命令。su命令的作用的是對(duì)用戶進(jìn)行切換。當(dāng)管理員登錄到系統(tǒng)之后，使用su命令切換到超級(jí)用戶角色來(lái)執(zhí)行一些需要超級(jí)權(quán)限的命令。但是由于超級(jí)用戶的權(quán)限過(guò)大，同時(shí)，需要管理人員知道超級(jí)用戶密碼，因此su命令具有很嚴(yán)重的管理風(fēng)險(xiǎn)。

sudo命令允許系統(tǒng)賦予普通用戶一些超級(jí)權(quán)限，并且不需普通用戶切換到超級(jí)用戶。因此，在管理上應(yīng)當(dāng)細(xì)化權(quán)限分配機(jī)制，使用sudo命令為每一位管理員服務(wù)其特定的管理權(quán)限。

遠(yuǎn)程訪問(wèn)及登陸認(rèn)證安全

遠(yuǎn)程登錄應(yīng)用 SSH 登陸方式。telnet是一類存在安全隱患的登錄認(rèn)證服務(wù)，其在網(wǎng)絡(luò)之上利用明文傳輸內(nèi)容，黑客很容易通過(guò)結(jié)果telnet數(shù)據(jù)包，獲得用戶的登陸口令。并且telnet服務(wù)程序的安全驗(yàn)證方式存在較大的安全隱患，使其成為黑客攻擊的目標(biāo)。SSH服務(wù)則會(huì)將數(shù)據(jù)進(jìn)行加密傳輸，能夠防止 DNS 欺騙以及IP欺騙，并且傳輸?shù)臄?shù)據(jù)是經(jīng)過(guò)壓縮，在一定程度上保證了服務(wù)器遠(yuǎn)程連接的安全。

文件系統(tǒng)的安全

加固系統(tǒng)重要文件。在Linux系統(tǒng)中，如果黑客取得超級(jí)權(quán)限，那么他在操作系統(tǒng)里面就不會(huì)再有任何的限制地做任何事情。在這種情況下，一個(gè)加固的文件系統(tǒng)將會(huì)是保護(hù)系統(tǒng)安全的最后一道防線。管理員可通過(guò) chattr 命令鎖定系統(tǒng)一些重要文件或目錄。

文件權(quán)限檢查與修改。如果操作系統(tǒng)當(dāng)中的重要文件的權(quán)限設(shè)置不合理，則會(huì)對(duì)操作系統(tǒng)的安全性，產(chǎn)生最為直接的影響。所以，系統(tǒng)的運(yùn)行維護(hù)人員需要及時(shí)的察覺(jué)到權(quán)限配置不合理的文件和目錄，并及時(shí)修正，以防安全事件發(fā)生。

安全設(shè)定/tmp、/var/tmp、/dev/shm。在該操作系統(tǒng)當(dāng)中，其用于存放臨時(shí)文件的目錄，主要有兩個(gè)，分別為/tmp與/var/tmp。它們有個(gè)共同特點(diǎn)，就是所有的用戶可讀可寫和執(zhí)行，這樣就對(duì)系統(tǒng)產(chǎn)生了安全隱患。針對(duì)這兩個(gè)目錄進(jìn)行設(shè)置，不允許這兩個(gè)目錄下執(zhí)行應(yīng)用程序。

系統(tǒng)軟件安全

絕大多數(shù)的服務(wù)器遭受攻擊是因?yàn)橄到y(tǒng)軟件或者應(yīng)用程序有重大漏洞。黑客通過(guò)這些漏洞，可以輕松地侵入服務(wù)器。管理員應(yīng)定期檢查并修復(fù)漏洞。最常見的做法是升級(jí)軟件，將軟件保持在最新版本狀態(tài)。這樣就可以在一定程度上降低系統(tǒng)被入侵的可能性。

分享名稱：linux加固命令 linux加固手段
本文地址：http://muchs.cn/article16/ddiegdg.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供做網(wǎng)站、網(wǎng)站營(yíng)銷、網(wǎng)站策劃、靜態(tài)網(wǎng)站、建站公司、電子商務(wù)

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請(qǐng)盡快告知，我們將會(huì)在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng)，如需處理請(qǐng)聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時(shí)需注明來(lái)源： 創(chuàng)新互聯(lián)