版权声明:本文为博主原创文章,支持原创,转载请附上原文出处链接和本声明。

本文地址:https://www.cnblogs.com/wannengachao/p/12068256.html

1、文件上 i 锁:

## 上锁后所有用户包括root用户都将无法对此文件进行删除、cp、mv,若想进行操作需先解锁

上锁:

chattr +i 文件名字

递归上锁 chattr -R +i 文件名字

 ## 当用户文件(etc/passwd、/etc/shadow)被上锁后是无法修改用户密码的,需要解锁后修改,否则修改密码时会报错:验证错误

验证是否上锁

lsattr 文件名字  显示i为上锁状态

lsattr -R 文件名字 递归验证

 解锁:

chattr -i 文件明

chattr  -R -i 文件名 递归解锁

2、ssh黑白名单

白名单:/etc/hosts.allow

vi /etc/hosts.allow

sshd:196.13.2.25  #允许此IP登陆访问

sshd:8.                  #允许IP为8开头的所有服务器

黑名单:/etc/hosts.deny

vi /etc/hosts.deny

sshd:196.13.2.25   # 拒绝此IP

sshd:all                   # 拒绝全部

3、修改ssh端

修改vi /etc/ssh/sshd_config文件

修改内容:#Port 22

将#删除 修改22为其它端口

4、限制登陆失败次数

防止暴力破解密码

修改 /etc/pam.d/sshd 文件,文件增加内容:

auth required pam_tally2.so deny=3 unlock_time=150 even_deny_root root_unlock_time600

表示当密码输入错误达到3次,就锁定用户150秒,如果root用户输入密码错误达到3次,锁定600秒。锁定后即使密码输入正确也无法登陆

### 可使用命令 pam_tally2 查看所有当前因失败次数达到限制被锁定的用户

### pam_tally2  --reset  -u  $username   将被锁定的用户解锁,$username写为想要解锁的用户

5、限制用户登陆

vi  /etc/hosts.deny,若禁止192.168.10.19对服务器进行ssh的登陆,添加如下内容:

sshd : 192.168.0.1

6、文件目录权限

用户登陆中重要的三个文件:

/etc/shadow 只有root可读 –r--------  权限值为400  

/etc/passwd 必须设置为所有用户可读,root用户可写 –rw-r—r— 权限值为644

/etc/group 必须设置为所有用户可读,root用户可写 –rw-r—r— 权限值为644

7、设置密码策略

修改 /etc/login.defs 配置文件

PASS_MAX_DAYS 70     密码最长有效期
PASS_MIN_DAYS 5        密码修改之间最小的天数
PASS_MIN_LEN 8           密码长度
PASS_WARN_AGE 4      口令失效前多少天开始通知用户修改密码

8、用户缺省权限控制

修改  /etc/profile

在文件末尾增加一条行:umask027

umask值应为027或更小权限

9、预防Flood攻击

在/etc/sysctl.conf文件中添加  net.ipv4.tcp_syncookies = 1

10、禁止root用户远程登陆

修改vi /etc/ssh/sshd_config文件

修改内容:#PermitRootLogin yes

将#删除 将yes改为no,ssh默认是允许root用户远程登陆,改为no禁止使用root远程登陆

11、禁ping

echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_all 开启禁ping

echo 0 > /proc/sys/net/ipv4/icmp_echo_ignore_all 关闭禁ping

禁ping后如果此服务器上有dns服务,域名也会被禁ping。

linux系统安全加固的更多相关文章

  1. linux系统安全加固--账号相关

    linux系统安全加固 一.账号相关 1.禁用或删除无用账号 减少系统无用账号,降低安全风险. 当我们的系统安装完毕后,系统默认自带了一些虚拟账户,比如bin.adm.lp.games.postfix ...

  2. Linux系统安全加固(一)

    Linux系统安全加固(一)     去年8月,某所网站遭黑客攻击瘫痪虽然港交所随后及时启用备用系统,但还是致使7支股票1支债卷被迫停牌,次日再次遭受攻击而瘫痪:在去年年底继CSDN信息安全出现之后, ...

  3. CentOS系统安全加固常见方法

    关于Linux系统安全加固的具体实现脚本及基线检查规范,以供主机维护人员参考学习. 其中以下脚本主要实现的功能包括: *加固项包括:密码长度.session超时时间.删除不用的帐号和组.限制root用 ...

  4. Linux主机操作系统加固规范

      对于企业来说,安全加固是一门必做的安全措施.主要分为:账号安全.认证授权.协议安全.审计安全.总的来说,就是4A(统一安全管理平台解决方案),账号管理.认证管理.授权管理.审计管理.用漏洞扫描工具 ...

  5. 如何加固Linux系统

    如何加固Linux系统 一. 账户安全 1.1 锁定系统中多余的自建帐号 检查方法: 执行命令 #cat /etc/passwd #cat /etc/shadow 查看账户.口令文件,与系统管理员确认 ...

  6. Linux 系统的安全加固

    Linux是一套免费使用和自由传播的类Unix操作系统,作为一个开放源代码的操作系统,Linux服务器以其安全.高效和稳定的显著优势而得以广泛应用,但如果不做好权限的合理分配,Linux系统的安全性还 ...

  7. linux系统加固方案

    Linux主机操作系统加固规范 目  录 第1章      概述... 1 1.1        目的... 1 1.2        适用范围... 1 1.3        适用版本... 1 1 ...

  8. Linux系统安全需要注意的一些问题

    写在前面:当你部署一台服务器,第一步不应该是部署应用,安全是才是首要任务 如果某一天当你登录服务器发现 /bin/bash –i,python -c 'import pty; pty.spawn(&q ...

  9. 一致推崇的Linux系统还有那么安全吗?

    今天想谈谈关于系统安全:我们都知道,Linux早已成为趋势,在我们互联网中占有不可或缺的地位,在我们眼中,它是神圣的,不可替代的,无懈可击的:真的是这样的吗? 但是关于病毒对Linux所造成的一系列威 ...

随机推荐

  1. CentOS 7 源代码安装Nginx

    本篇简要介绍CentOS 7 源代码安装Nginx. Preface # yum install epel-release -y # yum group install "Developme ...

  2. 关于java基础、多线程、JavaWeb基础、数据库、SSM、Springboot技术汇总

    作者 : Stanley 罗昊 本人自行总结,纯手打,有疑问请在评论区留言 [转载请注明出处和署名,谢谢!] 一.java基础 1.多态有哪些体现形式? 重写.重载 2. Overriding的是什么 ...

  3. SVN安装简介

    博主最近换个份工作,代码管理用的是SVN,因为之前用的Git管理代码的,SVN没接触过,既然公司中要用,就学习下使用吧.从最基本的安装开始吧. SVN官网:https://tortoisesvn.ne ...

  4. document.write() 为什么会清空页面

    很久以前遇到的问题,放着放着就忘记去研究了最近看到一篇文章总结一下作者:abloumeurl:   http://blog.csdn.net/u013451157/article/details/78 ...

  5. Vue-cli脚手架 安装 并创建项目--命令

    检查是否有 node - v 安装Vue-cli npm install -g vue-cli 安装好后,执行 vue list可以看到很多实用的模板,我这里实用的webpack 初始化模板 vue ...

  6. ERROR 1366 (HY000): Incorrect string value: '\xE9\x83\x91\xE5\xB7\x9E' for column 'aa' at row 1 MySQL 字符集

    ERROR 1366 (HY000): Incorrect string value: '\xE9\x83\x91\xE5\xB7\x9E' for column 'aa' at row 1创建表之后 ...

  7. PWA学习笔记(二)

    设计与体验 APP Shell: 1.应用从显示内容上可粗略划分为内容部分和外壳部分,App Shell 就是外壳部分,即页面的基本结构 2.它不仅包括用户能看到的页面框架部分,还包括用户看不到的代码 ...

  8. SqlServer性能优化,查看CPU、内存占用大的会话及SQL语句

    1,查看CPU占用量最高的会话及SQL语句   select spid,cmd,cpu,physical_io,memusage, (select top 1 [text] from ::fn_get ...

  9. 《Web Development with Go》Mangodb插入struct数据

    学习数据持久化. package main import ( "fmt" "log" "time" "gopkg.in/mgo.v ...

  10. Django中获取参数(路径,查询,请求头,请求体)

    一.通常HTTP协议向服务器传参有几种途径 : 提取URL的特定部分,如/weather/shanghai/2018,可以在服务器端的路由中用正则表达式截取: 查询字符串(query string), ...