接上文,繼續介紹一些linux伺服器的安全配置。
#6、強密碼策略。
當我們使用 useradd、usermod 命令建立或維護使用者賬號時,確保始終應用強密碼策略。例如,乙個好的密碼至少包括8個字元,包含了字母、數字以及特殊字串、大小寫等。使用諸如「
john the ripper」這樣的工具來查詢弱口令使用者,使用 pam_cracklib.so 來增強密碼策略。
#6.1 密碼生命週期。
chage 命令能夠修改口令的修改週期,以及最近一次密碼修改的日期。系統依據這些資訊判斷使用者口令是否應該修改。在 /etc/login.defs 檔案中定義了包括密碼生命週期在內的一些選項。如果需要對某個使用者禁用密碼生命週期,如下:
1 # chage -m 99999 username
獲取密碼過期資訊,輸入:
1 chage -l username
我們也可以在 /etc/shadow 檔案中定義這些字段:
::::::::
其中:minimum_days 定義密碼修改的最小時間間隔,也就是使用者能夠修改密碼的最小時間間隔。maximum_days 定義密碼有效的時間間隔,超過這個時間,使用者就必須修改密碼。warn 定義口令過期多少天前開始向使用者提示進行口令修改。expire 定義從2023年1月1日到過期時的天數,之後該使用者將無法再登入。
建議使用 chage 命令,而不是修改 /etc/shadow 檔案
1 # chage -m 60 -m 7 -w 7 username
#6.2、禁止使用之前用過的密碼。
可以設定禁止所有使用者使用之前的舊密碼,
pam_unix 模組提供了這個功能,允許我們定義之前幾個舊密碼不能使用。
#6.3、登入失敗後鎖定使用者。
在linux中可以使用 faillog 命令來顯示失敗的登入或者設定失敗登入限制。檢視失敗的登入,可以輸入:
faillog
解鎖登入失敗的使用者,執行
faillog -r -u username
注意可以使用 passwd 命令來鎖定或解鎖使用者密碼。
#6.4、如何來檢查是否有賬號使用了空口令。
使用如下命令:
1 # awk -f: '($2 == "")
' /etc/shadow
鎖定所有空密碼的賬戶
1 # passwd -l accountname
#6.5、確保沒有非root使用者的uid為0。
只有root使用者的uid為0,其具有系統的所有許可權。使用下面的命令進行檢查:
# awk -f: '($3 == "0")
' /etc/passwd
應該僅能看到root一行的結果,如果還有其他使用者,請將這些使用者刪除。
#7、禁止root使用者登入。
永遠不要使用root使用者登入,應該使用 sudo 來執行需要root許可權的命令。sudo 避免了root口令的共享,同時提供了一些審計和追蹤的功能支援。
#8、伺服器的物理安全。
我們必須確保伺服器的物理安全,配置 bios 禁止從外部裝置啟動。設定 bios 和 grub boot loader 的密碼。所有的裝置應當安全的存放在idc(internet data center)中,並且安排了適當的機房安檢。
#9、禁用不需要的服務。
禁用所有不必要的服務和守護程序,並且將他們從隨系統啟動中刪除。使用下面的命令來檢查是否有服務隨系統啟動。
# chkconfig --list | grep'3:on
'
要禁用服務,可以使用下面的命令:
# service servicename stop# chkconfig servicename off
#9.1、檢查網路監聽的埠。
使用 netstat 命令檢視伺服器中有哪些監聽埠
# netstat -tulpn
如果有不需要的服務,可以使用 chkconfig 進行關閉。如果需要對外遮蔽,可以使用 iptables 。
#10、刪除x windows。
對伺服器來說,x windows完全沒有必要。可以使用包管理工具刪除。
# yum groupremove "x window system"
20個Linux伺服器安全強化建議(一)
linux伺服器安全對於保護使用者資料 智財權非常重要,同時還能減少你面對黑客的時間。在工作中,通常由系統管理員對linux的安全負責,在這篇文章中,介紹了20條對linux系統進行強化的建議。本文所有的建議都基於centos rhel系統或者ubuntu debian的發行版本。1 加密資料通訊方...
20個Linux伺服器安全強化建議(三)
iptables 是乙個linux核心提供的,執行在使用者空間的程式,它允許使用者配置自己的防火牆策略。我們可以使用防火牆將不必要的流量過濾出去。使用 iptables 能夠避免很多拒絕服務 dos 攻擊。12 核心配置檔案優化 etc sysctl.conf turn on execshield ...
20個Linux伺服器安全強化建議(二)
接上文,繼續介紹一些linux伺服器的安全配置。6 強密碼策略。當我們使用 useradd usermod 命令建立或維護使用者賬號時,確保始終應用強密碼策略。例如,乙個好的密碼至少包括8個字元,包含了字母 數字以及特殊字串 大小寫等。使用諸如 john the ripper 這樣的工具來查詢弱口令...