伺服器加固(安全篇)
前言:針對最近越來越多的安全事件**,伺服器的安全問題浮出水面,這裡介紹一些小的安全技巧,幫助加固伺服器。
注意:再高超的安全技術手段也比不了良好的安全意識!
一、資訊保安防護的目標
保密性,confidentiality
完整性,integrity
可用性,usability
可控制性,controlability
不可否認性,non-repudiation
二、安全防護環節
物理安全:各種裝置/主機、機房環境
系統安全:主機或裝置的作業系統
應用安全:各種網路服務、應用程式
網路安全:對網路訪問的控制、防火牆規則
資料安全:資訊的備份與恢復、加密解密
管理安全:各種保障性的規範、流程、方法
三、linux系統加固
1、阻止普通使用者關機
[root@localhost ~]# chage -m 1 -m 90 -w 5 -i 3 -e 2014-03-15 bob
-m密碼最短有效時間
-m最長
-w:警告waring
-i:不活躍時間inactive
-e:失效時間 expire
設定普通使用者下一次登陸必須改密碼
[root@localhost ~]# chage -d 0 alice
3、清理非登入賬號
刪除冗餘賬號 ;
/sbin/nologin,禁止登入shell
4、帳號鎖定操作
[root@localhost ~]# passwd -l alice
[root@localhost ~]# passwd -s alice
[root@localhost ~]# passwd -u alice
[root@localhost ~]# usermod -l alice
[root@localhost ~]# usermod -u alice
-l:鎖定、-u解鎖、-s檢視狀態、
-l:usermod下的鎖定;
u:usermod的解鎖
5、配置檔案/etc/login.defs
對新建的使用者有效
主要控制屬性
pass_min_days
pass_warn_age
6、設定最大歷史命令條目數
# vim /etc/profile ->改histsize引數
histsize
7、檔案系統規劃及掛載
mount掛載選項
-o noexec :不可執行
-o nosuid :
suid:如果乙個可執行檔案對於所有使用者有x許可權。而且設定了suid
,那麼給檔案在執行期間就具有了屬主的的許可權
8、合理掛載檔案系統
/etc/fstab中的defaults是掛載選項,
可以新增ro(唯讀)等限制
9、檔案加鎖、解鎖
把/etc/hosts變成絕對唯讀檔案
chattr +i /etc/hosts
把/etc/hosts變成只能追加內容的檔案
chattr +a /etc/hosts
chattr +/- i/a
lsattr /etc/hosts
+a:追加
+i:唯讀(一成不變的)
(change attribute + immutable)
10、tty終端控制
配置檔案 /etc/sysconfig/init
1-6個tty終端
立即禁止普通使用者登入
戶是無法登陸的
只允許root從指定的幾個終端登入
配置檔案 /etc/securetty
11、偽裝終端登陸提示,防止系統版本資訊洩漏
telnet
12、禁止ctrl+alt+del重啟
配置檔案:/etc/init/control-alt-delete.conf
[root@svr1 ~]# vim /etc/init/control-alt-delete.conf
exec /sbin/shutdown -r now .. ..
13、grub引導控制
引導設密的作用:
-- 限制修改啟動引數
-- 限制進入系統
密碼設定方法:
-- passwd --md5 加密的密碼串
-- 或者,passwd 明文密碼串
[root@svr1 ~]# vim /boot/grub/grub.conf
default=0
timeout=3
password --md5 $1$tt3gh1$8nztl70j/**/daaum/1
title red hat enterprise linux (2.6.32-358.el6.x86_64)
root (hd0,0)
kernel /vmlinuz-2.6.32-358.el6.x86_64 .. ..
initrd /initramfs-2.6.32-358.el6.x86_64.img
14、sudo
管理員需要讓tom和alice管理使用者的建立、刪除、修改、設定密碼操
作。但是又不能把root密碼告訴他們。
user_alias useradmins = tom, alice
cmnd_alias userop = /usr/sbin/useradd, /usr/sbin/userdel,
/usr/sbin/usermod, /usr/bin/passwd
useradmins all=(all) userop
# su - tom
# sudo useradd zhangsan
15、初始化作業系統
碼,配置ip位址
# reboot
件會消失
16、安全使用程式和服務
禁用非必要的系統服務
#ntsysv
關閉像networkmanager這樣的系統服務
或者用chkconfig
# chkconfig networkmanager off
伺服器安全加固
注 以下所有操作均在centos 6.5 x86 64位系統下完成。寫在最前 安全無小事,一切只要能增強安全性的事情,都是值得去做的。安全配置 1 防止伺服器被ping,禁止該功能。echo 1 proc sys net ipv4 icmp echo ignore all 並且儲存配置到開機自動設定...
Windows 伺服器檢查安全篇
windows 伺服器檢查安全篇 日期 2006 01 03 來自 建站先鋒 中級 1 利用win2000的安全配置工具來配置策略 微軟提供了一套的基於mmc 管理控制台 安全配置和分析工具,利用他們你可以很方便的配置你的伺服器以滿足你的要求。具體內容請參考微軟主頁 5 加密temp資料夾 一些應用...
SQL伺服器安全加固
步驟 說明 mdac公升級 安裝最新的mdac http www.microsoft.com data download.htm 密碼策略 由於sql server 不能更改 sa使用者名稱,也不能刪除這個超級使用者,所以,我們必須對這個帳號進行最強的保護,當然,包括使用乙個非常強壯的密碼,最好不要...