Linux 系統安全加固

2021-09-20 19:54:23 字數 4947 閱讀 8279

1,變更預設的ssh服務埠,禁止root使用者遠端連線

1

2

3

4

5

6

7

[root@ljohn ~]# cp /etc/ssh/sshd_config /etc/ssh/sshd_config.bak

[root@ljohn ~]# vim /etc/ssh/sshd_config

port 10022#ssh連線預設的埠

permitrootlogin no#root使用者黑客都知道,禁止它遠端登入

[root@ljohn ~]# /etc/init.d/sshd reload    #從新載入配置

[root@ljohn ~]# netstat -lnt     #檢視埠資訊

[root@ljohn ~]# lsof -i tcp:10022

或者直接修改用如下命令:

1

2

3

cp/etc/ssh/sshd_config/etc/ssh/sshd_config.bak

sed-i"s/#permitrootlogin yes/permitrootlogin no/"/etc/ssh/sshd_config

sed-i"s/#port 22/port 10022/"/etc/ssh/sshd_config

注:這樣做的目的是防止root使用者暴力破解,22埠為ssh預設的埠,建議使用其他埠

/etc/init.d/sshd reload

service sshd restart && history -c  #重啟sshd服務

演示:# ssh [email protected] 10022  這樣就顯示伺服器拒絕了root使用者登入。

2,新增普通使用者並進行sudo授權管理

1

2

3

4

5

[root@ljohn ~]# useradd cljj

[root@ljohn ~]# echo "123456" | passwd --stdin cljj && history –c ##這條命令歷史記錄要清除

[root@ljohn ~]# visudo

在root    all=(all)    all此行下,新增如下內容

cljj    all=(all)    all

演示:1

2

3

4

5

6

7

8

[cljj@ljohn home]$sudocat-n/etc/issue

[sudo] passwordforcljj:#這裡輸入當前使用者的密碼,臨時授予root使用者許可權

cljj is notinthe sudoersfile.  this incident will be reported.

[cljj@ljohn home]$sudocat-n/etc/issue

[sudo] passwordforcljj:

1centos release 6.8 (final)

2kernel \r on an \m

3

3,當普通使用者登入時,密碼輸入錯誤三次,系統馬上把該使用者鎖定10分鐘,root使用者鎖定20分鐘

1

2

cp/etc/pam.d/sshd/etc/pam.d/sshd.bak#在檔案末新增如下行:

auth    required    pam_tally2.so    deny=3    unlock_time=600 even_deny_root root_unlock_time=1200

各引數解釋:

even_deny_root    也限制root使用者;  

deny           設定普通使用者和root使用者連續錯誤登陸的最大次數,超過最大次數,則鎖定該使用者 

unlock_time        設定普通使用者鎖定後,多少時間後解鎖,單位是秒; 

root_unlock_time      設定root使用者鎖定後,多少時間後解鎖,單位是秒; 

檢視登陸次數:

檢視某一使用者錯誤登陸次數:

pam_tally –-user 使用者

例如,檢視cljj 使用者的錯誤登陸次數:

pam_tally –-user cljj

清空某一使用者錯誤登陸次數:

pam_tally –-user  使用者 –-reset

例如,清空 cljj 使用者的錯誤登陸次數,

pam_tally –-user cljj –-reset 

注:此方式也可以防禦暴力破解使用者賬號

4,鎖定關鍵檔案系統

1

2

3

4

5

[root@ljohn ~]# chattr +i /etc/passwd

[root@ljohn ~]# chattr +i /etc/inittab

[root@ljohn ~]# chattr +i /etc/group

[root@ljohn ~]# chattr +i /etc/shadow

[root@ljohn ~]# chattr +i /etc/gshadow

使用chattr命令後,為了安全我們需要將其改名

[root@ljohn ~]# /bin/mv /usr/bin/chattr /usr/bin/任意名稱

注:將有關使用者賬號密碼的配置檔案限制許可權,也也可以有效的防止惡意篡改。

5,登出時間限制600登出時間,及histsize =10000

1

2

3

4

5

6

cp/etc/profile/etc/profile.bak

echoexporttmout=600 >>/etc/profile#增加10分鐘超時退出

echoexporthisttimeformat=\'%f %t  `whoami` \'  >>/etc/profile#記錄操作歷史記錄的時間

echoexporthistfilesize=10000 >>/etc/profile

echoexporthistsize=10000 >>/etc/profile

source/etc/profile

注:history命令歷史可以有效的將使用者的行為記錄下來,一方面可以方便查詢,也可以檢視使用者在什麼時間做了哪些操作。

系統安全加固

系統安全加固 1.密碼策略 修改系統的密碼策略 1 經常修改密碼 2 使用一些特殊的字元和密碼的長度增加 密碼的難度 3 不要隨便告訴他人密碼 2.許可權 ugo 鎖定系統中不必要的系統使用者和組 鎖定下列使用者,鎖定之前備份 etc passwd 和 etc shadow 檔案 禁用無關的組 禁止...

Linux系統安全加固基礎

注 建議在修改相關配置檔案時,首先對需要修改檔案進行備份。1 ssh遠端連線 vi etc sshd sshd config port 65531 修改ssh埠,預設22 listenaddress 192.168.1.x 允許ssh登入的ip位址 permitrootlogin no 禁止root...

linux系統安全設定加固

描述設定ssh空閒超時退出時間,可降低未授權使用者訪問其他使用者ssh會話的風險 檢查提示 加固建議 clientaliveinterval 600 clientalivecountmax 2 描述 sshd強制使用v2安全協議 檢查提示 加固建議 protocol 2 描述強制使用者不重用最近使用...