強化Linux安全的10個技能分別是什么-創(chuàng)新互聯(lián)

這篇文章將為大家詳細講解有關強化Linux安全的10個技能分別是什么，文章內(nèi)容質(zhì)量較高，因此小編分享給大家做個參考，希望大家閱讀完這篇文章后對相關知識有一定的了解。

10年積累的網(wǎng)站設計、成都做網(wǎng)站經(jīng)驗，可以快速應對客戶對網(wǎng)站的新想法和需求。提供各種問題對應的解決方案。讓選擇我們的客戶得到更好、更有力的網(wǎng)絡服務。我雖然不認識你，你也不認識我。但先網(wǎng)站設計后付款的網(wǎng)站建設流程，更有玉泉街道免費網(wǎng)站建設讓你可以放心的選擇與我們合作。

1.找出不必要的服務

很明顯，服務器上跑的服務，并不是每個都有用的。強烈建議檢查并關掉不需要的服務，從而減少風險（多跑一個服務，就可能多幾個漏洞）。

查詢運行在runlevel 3的服務列表：

[afei@afei ~]# /sbin/chkconfig --list |grep '3:on'
關閉指定的服務：
[afei@afei ~]# chkconfig ip6tables off

疑問：為什么查詢runlevel 3的服務？
Linux系統(tǒng) 有7個運行級別(runlevel)，分別如下：
runlevel 0：系統(tǒng)停機狀態(tài)，系統(tǒng)默認運行級別不能設為0，否則不能正常啟動；
runlevel 1：單用戶工作狀態(tài)，root權限，用于系統(tǒng)維護，禁止遠程登陸；
runlevel 2：多用戶狀態(tài)(沒有NFS)；
runlevel 3：完全的多用戶狀態(tài)(有NFS)，登陸后進入控制臺命令行模式。這個運行級別的服務會啟動httpd，系統(tǒng)提供web server服務，所以主要查看這個運行級別的服務；
runlevel 4：系統(tǒng)未使用，保留；
runlevel 5：X11控制臺，登陸后進入圖形GUI模式；
runlevel 6：系統(tǒng)正常關閉并重啟，默認運行級別不能設為6，否則不能正常啟動；

2.檢查監(jiān)聽的網(wǎng)絡端口

通過netstat命名能夠看到所有已經(jīng)打開的端口，并且可以看到是哪些程序打開的。如果發(fā)現(xiàn)某些是必須要的，建議關掉：

[afei@afei~]# netstat -tulpn
Active Internet connections (only servers)
Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program name
tcp 0 0 0.0.0.0:2181 0.0.0.0:* LISTEN 48983/java
tcp 0 0 0.0.0.0:2182 0.0.0.0:* LISTEN 49051/java

3.優(yōu)化CRON任務

linux 的cron可以執(zhí)行一些定時任務。并且還可以通過/etc/cron.allow 和 /etc/cron.deny 控制哪些用戶可以運行JOB，哪位用戶禁止運行JOB。例如:

允許用戶afei允許JOB，執(zhí)行如下命令：
echo afei >> /etc/cron.allow
禁止所有用戶訪問JOB，執(zhí)行如下命令：
echo ALL >>/etc/cron.deny

4.限制用戶使用舊密碼

linux用戶的舊密碼保存在文件/etc/security/opasswd中：

[root@LAPP-V1159 ~]# cat /etc/security/opasswd
afei:504:4:$1$MVAi/EpJ$iXXkV5r3Hjc8AaK2b5KyQ/,$1$AbpFPYaD$ZKj12lK6qaYUqgQnEdocd0,$1$POabjmzY$F4Cp6aTwN6RRk1KjZWm8A/,$1$LoHe5GHY$QjkLGqABANpLmlQsRB4WE.
檢查是否有開啟限制使用舊密碼，在RHEL / CentOS / Fedora系統(tǒng)中，查看文件：/etc/pam.d/system-auth。在Ubuntu/Debian/Linux Mint系統(tǒng)中，查看文件：/etc/pam.d/common-password，需要下面兩行關鍵內(nèi)容，其中remember=4，表示不能使用最后4次密碼，否則會報錯：Password has been already used. Choose another.：
auth sufficient pam_unix.so nullok try_first_pass
password sufficient pam_unix.so sha512 shadow nullok try_first_pass use_authtok remember=4

5.檢查密碼過期

密碼的過期屬性可以通過如下命令查看：

[root@root ~]# chage -l afei
Last password change : Sep 14, 2018
Password expires : Nov 13, 2018
Password inactive : never
Account expires : never
Minimum number of days between password change : 0
Maximum number of days between password change : 60
Number of days of warning before password expires : 7
修改密碼的過期屬性可以執(zhí)行如下命令：
chage -M 60 -W 7 afei
說明：
-M 60表示密碼大有效期是60天。
-W 7 表示密碼還有7天過期時給出告警提醒。

6.檢查密碼為空的用戶

密碼為空意味著只要知道用戶名就能訪問，這非常危險。因為用戶與密碼信息保存在文件/etc/shadow中，且格式如下：

admin:$6$YTSkre3DLd4SAZ$Jy9piv/gPezhLrLzMMeUleV8F5DNjP:17765:0:99:5:::
afei:$6$.vMcyE9ss96$YNk2Q5qiS/SAeGCcyEFsmspkC5dr3OXfnN:17788:0:60:7:::
后面的幾個數(shù)字是密碼過期等屬性信息，上面已經(jīng)提及。
所以，檢查密碼為空的用戶，只需要執(zhí)行如下命令即可，如果發(fā)現(xiàn)有這樣的用戶，通過root用戶執(zhí)行passwd username強行修改它的密碼：
cat /etc/shadow | awk -F: '($2==""){print $1}'

7.鎖定&解鎖用戶

和刪除用戶賬戶不一樣，這個只是限制用戶登錄。只需要執(zhí)行如下密碼即可鎖定&解鎖用戶：

[root@root ~]# passwd -l afei
Locking password for user afei.
passwd: Success
[root@root ~]# passwd -u afei
Unlocking password for user afei.
passwd: Success

說明：

參數(shù)l表示lock，即鎖定用戶密碼；

參數(shù)u表示unlock，即解鎖用戶密碼；

8.關閉IPv6

現(xiàn)在IPv6基本上沒有實際使用，所以我們可以關掉它，在文件/etc/sysconfig/network中增加如下兩行內(nèi)容即可：

NETWORKING_IPV6=no
IPV6INIT=no

9.復查日志

Linux服務器上很多的行為都會有記錄相應的日志，簡單列舉一些如下，如果有一些非法操作，就能從這些日志中造成蛛絲馬跡，例如非法登陸，非法定時任務等：

/var/log/message – Where whole system logs or current activity logs are available.
/var/log/auth.log – Authentication logs.
/var/log/kern.log – Kernel logs.
/var/log/cron.log – Crond logs (cron job).
/var/log/maillog – Mail server logs.
/var/log/boot.log – System boot log.
/var/log/mysqld.log – MySQL database server log file.
/var/log/secure – Authentication log.
/var/log/utmp or /var/log/wtmp : Login records file.
/var/log/yum.log: Yum log files.

10.保持系統(tǒng)更新

總是讓系統(tǒng)更新最新發(fā)行的補丁包，因為這些補丁包會修復一些BUG：

sudo apt-get upgrade
yum check-update
yum upgrade

關于強化Linux安全的10個技能分別是什么就分享到這里了，希望以上內(nèi)容可以對大家有一定的幫助，可以學到更多知識。如果覺得文章不錯，可以把它分享出去讓更多的人看到。

網(wǎng)頁名稱：強化Linux安全的10個技能分別是什么-創(chuàng)新互聯(lián)
URL鏈接：http://muchs.cn/article22/dgdpjc.html

成都網(wǎng)站建設公司_創(chuàng)新互聯(lián)，為您提供網(wǎng)頁設計公司、搜索引擎優(yōu)化、網(wǎng)站策劃、網(wǎng)站設計公司、面包屑導航、標簽優(yōu)化

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權請盡快告知，我們將會在第一時間刪除。文章觀點不代表本網(wǎng)站立場，如需處理請聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時需注明來源： 創(chuàng)新互聯(lián)