linux系统 安全整改
来源:互联网 发布:幼儿教师网络研修作业 编辑:程序博客网 时间:2024/06/07 12:01
mkdir /backup
tar -cPpf /backup/etc20170526.bak.tar /etc
还原 tart
tar ——overwrite -xpf /backup/home.bak.tar -C /
2.修改用户名密码
http://jingyan.baidu.com/article/9989c7463a3f22f649ecfe6c.html
whoami
passwd
3.修改用户过期策略
http://blog.csdn.net/xiegh2014/article/details/52595695
vi /etc/login.defs
针对新用户
PASS_MAX_DAYS 90
PASS_MIN_DAYS 0
PASS_MIN_LEN 9
PASS_WARN_AGE 15
chage -M 90 root
chage -W 15 root
chage -l root
3.1复杂度校验;
修改/etc/pam.d/system-auth,在password使用pam_cracklib.so设置的最后对应加一下
password requisite pam_cracklib.so minlen=8 ucredit=-1 lcredit=-1 dcredit=-1 ocredit=-1
是否有如下参数(X为锁定次数,该参数需手动添加)account required /lib/security/pamtally.so deny=5 no_magic_root reset
上面2条都是在etc/pam.d/system-auth里设置
自己参考的:http://blog.sina.com.cn/s/blog_605f5b4f01013l9s.html
http://www.lingzhong.cn/tech/22733.htm
向导:http://blog.csdn.net/xyz846/article/details/26585399
https://wenku.baidu.com/view/411ba45a4b73f242336c5fdd.html
http://www.landui.com/help/show-2789.html
vim /etc/pam.d/login
在#%PAM-1.0下面添加:
auth required pam_tally2.so deny=5 unlock_time=180 #登录失败5次锁定180秒,不包含root
auth required pam_tally2.so deny=5 unlock_time=1800 even_deny_root root_unlock_time=1800 #包含root
5.修改root用户名
root2017
http://www.xker.com/page/e2017/0131/262022.html
参考:http://blog.csdn.net/a1154490629/article/details/52190801
/etc/passwd中一行记录对应着一个用户,每行记录又被冒号(:)分隔为7个字段,其格式和具体含义如下:
用户名:口令:用户标识号:组标识号:注释性描述:主目录:登录Shell
vi /etc/passwd
修改第1行第1个root为新的用户名
按esc键退出编辑状态,并输入:x保存并退出
vi /etc/shadow
修改第1行第1个root为新的用户名
按esc键退出编辑状态,并输入:x!强制保存并退出
为了正常使用sudo,需要修改/etc/sudoers的设置,修改方法如下(来自How to add users to /etc/sudoers):
运行visudo
找到root ALL=(ALL) ALL
在下面添加一行:新用户名 ALL=(ALL) ALL
:x保存退出
6.开启审计进程auditd
vim /etc/audit/auditd.conf
max_log_file=50
max_log_file_action=KEEP_LOGS
service auditd start
http://blog.chinaunix.net/uid-17238776-id-4904716.html
7.定期备份 /var/log/audit/ 下的日志
两个月移动一下文件夹内所有东西
crontab -e
00 01 01 */2 * /bin/bash /backup/bakaudit.sh
mkdir /backup/audit
touch bakaudit.sh
文件夹只所有文件移动到另外一个文件夹中
#!/bin/sh
tempdir=audit`date +%Y-%m-%d_%H%M%S`
mkdir /backup/audit/$tempdir
mv /var/log/audit/* /backup/audit/$tempdir
/sbin/service auditd restart
移动完以后要重新启动auditd,否则后面日志好像不生成了
chmod +x /backup/bakaudit.sh
8.自动更新补丁
https://linux.cn/article-8015-1.html?utm_source=weixin
https://www.androiddev.net/centos-auto-update/
9.设置ssh连接超时时间
(以秒为单位)
echo export TMOUT=600 >> /root/.bash_profile
cat /root/.bash_profile
source .bash_profile
cp /etc/ssh/sshd_config /etc/ssh/sshd_config_bak
echo ClientAliveInterval=60 >> /etc/ssh/sshd_config
service sshd restart
cat /etc/ssh/sshd_config
service sshd restart
exit
http://bristol.blog.51cto.com/1004110/1567390
10.装杀毒软件 Clamav
http://115.com/1000018516/T1232213.html
http://www.iyunv.com/thread-237251-1-1.html
11.远程SSH服务器配置为使用Arcfour流密码或根本没有密码
RFC 4253建议不要使用arc4,因为该算法存在安全缺陷,存在被攻击者破解的风险。
Ciphers aes128-ctr,aes192-ctr,aes256-ctr,aes128-cbc,3des-cbc,blowfish-cbc,cast128-cbc,aes192-cbc,aes256-cbc,rijndael-cbc@lysator.liu.se
加到/etc/ssh/sshd_config
Linux ~]# tar [-cxtzjvfpPN] 文件与目录 ....
参数:
-c :建立一个压缩文件的参数指令(create 的意思);
-x :解开一个压缩文件的参数指令!
-t :查看 tarfile 里面的文件!
特别注意,在参数的下达中, c/x/t 仅能存在一个!不可同时存在!
因为不可能同时压缩与解压缩。
-z :是否同时具有 gzip 的属性?亦即是否需要用 gzip 压缩?
-j :是否同时具有 bzip2 的属性?亦即是否需要用 bzip2 压缩?
-v :压缩的过程中显示文件!这个常用,但不建议用在背景执行过程!
-f :使用档名,请留意,在 f 之后要立即接档名喔!不要再加参数!
例如使用『 tar -zcvfP tfile sfile』就是错误的写法,要写成
『 tar -zcvPf tfile sfile』才对喔!
-p :使用原文件的原来属性(属性不会依据使用者而变)
-P :可以使用绝对路径来压缩!
-N :比后面接的日期(yyyy/mm/dd)还要新的才会被打包进新建的文件中!
--exclude FILE:在压缩的过程中,不要将 FILE 打包!
- linux系统 安全整改
- Android 安全评估整改办法一
- linux安全-系统记账
- 利用组策略进行的一次Windows主机安全整改
- Linux 系统深度安全加固
- linux系统主机安全配置!
- Linux系统的临时文件安全
- Linux系统必备安全配置
- 安全运维之:Linux系统账户和登录安全
- 使用日志系统保护Linux安全
- 浅谈linux系统的安全加固
- 深入分析Linux系统深度安全加固
- Linux 系统下 ssh 安全设置指南
- 利用bastille配置安全的linux系统
- 熟悉Linux系统的安全和优化
- 打造更加安全可靠的Linux系统
- DIY安全的Linux系统服务平台
- DIY安全的Linux系统服务平台
- PHP 性能分析与实验
- 利用递归判断是否是文件或文件夹
- 21位水仙花数
- 不同线程分配不同寄存器,但是代码区是共享的,即不同线程可以访问同一函数。
- eclipse安装java反编译插件
- linux系统 安全整改
- java字符串分割 spilt 遇到"
- angular开发注意点:
- 自己实现atoi函数
- dateuntil单元详解
- session.run()是非常耗时的,千万不要用session.run的方式去取数据
- 扎克伯格2017哈佛毕业演讲
- 安慰奶牛.java
- [USACO] Section1.1 Your Ride Is Here[字符串处理]