一、summary隨著網際網路的發展,隱私以及安全被大家看的越來越重視,越來越多的重要交易正在通過網路完成,與此同時資料被損壞、擷取和修改的風險也在增加。優秀的系統應當擁有完善的安全措施,應當足夠堅固、能夠抵抗來自internet的侵襲,這正是linux之所以流行並且成為internet骨幹力量的主要原因。但是,如果你不適當地運用linux的安全工具,它們反而會埋下隱患。配置拙劣的安全系統會產生許多問題。
2.1 設定密碼策略#!/bin/bash# function: 實現對使用者密碼策略的設定,如密碼最長有效期等read -p "設定密碼最多可多少天不修改:" aread -p "設定密碼修改之間最小的天數:" bread -p "設定密碼最短的長度:" cread -p "設定密碼失效前多少天通知使用者:" dsed -i '/^pass_max_days/c\pass_max_days '$a'' /etc/login.defssed -i '/^pass_min_days/c\pass_min_days '$b'' /etc/login.defssed -i '/^pass_min_len/c\pass_min_len '$c'' /etc/login.defssed -i '/^pass_warn_age/c\pass_warn_age '$d'' /etc/login.defsecho "已設定好密碼策略......"
2.2 、對使用者密碼強度的設定開啟 /etc/pam.d/sysetm-aut**件 ,修改如下。我們設定新密碼不能和舊密碼相同,同時新密碼至少8位,還要同時包含大字母、小寫字母和數字。
password requisite pam_pwquality.so try_first_pass local_users_only retry=3 authtok_type= difok=1 minlen=8 ucredit=-1 lcredit=-1 dcredit=-1
2.3 、對使用者的登入次數進行限制開啟/etc/pam.d/sshd檔案,在#%pam-1.0的下面,加入下面的內容,表示當密碼輸入錯誤達到3次,就鎖定使用者150秒,如果root使用者輸入密碼錯誤達到3次,鎖定300秒。鎖定的意思是即使密碼正確了也登入不了。
auth required pam_tally2.so deny=3 unlock_time=150 even_deny_root root_unlock_time300
2.4、禁止root使用者遠端登入
2.6、設定只有指定使用者組才能使用su命令切換到root使用者在linux中,有乙個預設的管理組 wheel。在實際生產環境中,即使我們有系統管理員root的許可權,也不推薦用root使用者登入。一般情況下用普通使用者登入就可以了,在需要root許可權執行一些操作時,再su登入成為root使用者。但是,任何人只要知道了root的密碼,就都可以通過su命令來登入為root使用者,這無疑為系統帶來了安全隱患。所以,將普通使用者加入到wheel組,被加入的這個普通使用者就成了管理員組內的使用者。然後設定只有wheel組內的成員可以使用su命令切換到root使用者。
#! /bin/bash# function: 修改配置檔案,使得只有wheel組的使用者可以使用 su 許可權sed -i '/pam_wheel.so use_uid/c\auth required pam_wheel.so use_uid ' /etc/pam.d/sun=`cat /etc/login.defs | grep su_wheel_only | wc -l`if [ $n -eq 0 ];thenecho su_wheel_only yes >> /etc/login.defsfi
2.7、對linux賬戶進行管理#! /bin/bash# function: 對系統中的使用者做檢查,加固系統echo "系統中有登入許可權的使用者有:"awk -f: '($7=="/bin/bash")' /etc/passwdecho "********************************************"echo "系統中uid=0的使用者有:"awk -f: '($3=="0")' /etc/passwdecho "********************************************"n=`awk -f: '($2=="")' /etc/shadow|wc -l`echo "系統中空密碼使用者有:$n"if [ $n -eq 0 ];then echo "恭喜你,系統中無空密碼使用者!!" echo "********************************************"else i=1 while [ $n -gt 0 ] do none=`awk -f: '($2=="")' /etc/shadow|awk 'nr=='$i''` echo "------------------------" echo $none echo "必須為空使用者設定密碼!!" passwd $none let n-- done m=`awk -f: '($2=="")' /etc/shadow|wc -l` if [ $m -eq 0 ];then echo "恭喜,系統中已經沒有空密碼使用者了!" elseecho "系統中還存在空密碼使用者:$m" fifi
三、網路服務安全要經常檢查系統的物理環境,禁止那些不必要的網路服務;充分了解系統和服務軟體是如何工作的;經常檢查系統配置和安全策略,並注意每天檢視安全日誌。
linux 系統對外提供強大、多樣的服務,由於服務的多樣性及其複雜性,在配置和管理這些服務時特別容易犯錯誤,另外,提供這些服務的軟體本身也存在各種漏洞,所以,在決定系統對外開放服務時,必須牢記兩個基本原則:
只對外開放所需要的服務,關閉所有不需要的服務。對外提供的服務越少,所面臨的外部威脅越小。
將所需的不同服務分布在不同的主機上,這樣不僅提高系統的效能,同時便於配置和管理,減小系統的安全風險。
四、系統設定安全時刻留意安全站點公布的,與 linux 系統和軟體有關的最新安全漏洞和報告;及早發現系統存在的***漏洞,及時安裝系統補丁程式。
4.1、限制控制台的使用
4.2、系統關閉ping可以把指令新增到檔案/etc/rc.d/rc.local中去。
echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_all
4.3、禁止ip源路徑路由
五、檔案系統安全對一些重要資訊(例如系統配置資訊)建立並完善備份機制;對一些特權賬號的密碼設定要謹慎。
5.1、檔案許可權去掉不必要的suid程式,可以通過指令碼檢視。
find / -type f \( -perm -04000 -o -perm -02000 \) -exec ls -lg {} \;
5.2、備份與恢復定期對檔案系統進行備份,可以將損失減小到最小程度。
用專用Linux日誌伺服器增強系統安全
目錄 一.準備工作 二.系統安裝 三.系統配置 四.測試 五.結論 為什麼要建立專用linux日誌伺服器?首先,我們簡單分析一下入侵的過程.黑客通過探測和利用漏洞非法進入到一台計算機系統中,首要的事情就是 隱藏自己的痕跡,而不會去告訴他人系統已被攻擊.為了完成隱藏任務,大多數黑客會刪除日誌檔案中所有...
linux系統安全詳解
與系統安全相關的幾個檔案 鎖定使用者密碼 passwd l username 解鎖使用者密碼 usermod u username passwd u username 使用者檔案管理 檔案鎖定 使用者密碼管理 命令歷史管理 su命令管理 sudo命令詳解 sudo 當前使用者,能夠以另外乙個指定使用...
Linux 系統安全加固
1,變更預設的ssh服務埠,禁止root使用者遠端連線 1 2 3 4 5 6 7 root ljohn cp etc ssh sshd config etc ssh sshd config.bak root ljohn vim etc ssh sshd config port 10022 ssh連...