iptables

初始化

> iptables -F   #清空所有的链
> iptables -X  #清空所有自定义的链
关掉全部端口

> iptables -P INPUT DROP
> iptables -P OUTPUT DROP
开启端口第一步

iptables -A INPUT -p icmp --icmp-type any -j ACCEPT
允许icmp包进入
iptables -A INPUT -s localhost -d localhost -j ACCEPT
允许本地的数据包
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
允许已经建立和相关的数据包进入
iptables -A OUTPUT -p icmp --icmp any -j ACCEPT
允许icmp包出去
iptables -A OUTPUT -s localhost -d localhost -j ACCEPT
允许本地数据包
iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
允许已经建立和相关的数据包出去
关闭端口号

iptables -I INPUT -i eth0 -p tcp --dport  -j DROP
iptables -I OUTPUT -o eth0 -p tcp --sport  -j DROP
打开端口号

iptables -I INPUT -i eth0 -p tcp --dport  -j ACCEPT
iptables  -I OUTPUT -o eth0 -p tcp --sport  -j ACCEPT

网络服务安全

禁止ping

 # echo  > /proc/sys/net/ipv4/icmp_echo_ignore_all 开启
 # echo  > /proc/sys/net/ipv4/icmp_echo_ignore_all  关闭

访问控制

为不同的管理员分配不同的账户

cat /etc/passwd
useradd username
passwd password
增加新用户
chmod  目录
去除不需要的帐号、修改默认帐号的shell变量

cat /etc/passwd
cat /etc/shadow
删除不需要的账户
userdel username
groupdel username

设置shell
usermod -s /dev/hull username
对系统账号进行登陆限制

禁止某用户登陆
example:
bin:x:::bin:/bin:/bin/bash
=>
bin:x:::bin:/bin:/bin/nologin
禁用bin用户登陆

touch /etc/nologin
禁止除root以外所有用户登陆
建议禁掉的用户:daemon   bin  sys  adm  lp   uucp   nuucp  smmsp等
设置关键目录的权限

关键目录:
chmod  /etc/passwd
chmod  /etc/shadow
chmod  /etc/group
设置目录权限

ls -l查看权限
权限前边的ld为d是目录文件,l是链接文件
chmod -R  /etc/init.d/*
设置关键文件的属性

身份鉴别

为空口令用户设置密码

cat /etc/passwd
    注册名:口令:用户标识号:组标识号:用户名:用户主目录:命令解释程序
    查看是否存在空口令用户(X为存在密码,*为被封禁)
passwd 空口令用户名
缺省密码长度限制

vim /etc/login.defs
查看PASS_MIN_LEN选项值
PASS_MIN_LEN
设置密码长度最短为8
缺省密码生存周期限制

vim /etc/login.defs
PASS_MAX_DAYS
PASS_MIN_DAYS
设置帐户口令的生存期不长于90 天
口令过期提醒

vim /etc/login.defs
PASS_WARN_AGE
口令到期前多少天开始通知用户口令即将到期
限制超级管理员远程登录

vim /etc/ssh/sshd_config
把PermitRootLogin yes修改为no
service sshd restart
重启sshd服务
如果遇到sshd: unrecognized service错误
尝试一下service ssh restart
用ps -ef | grep sshd查看一下服务是否启动

Linux系统加固的更多相关文章

  1. linux系统加固方案

    Linux主机操作系统加固规范 目  录 第1章      概述... 1 1.1        目的... 1 1.2        适用范围... 1 1.3        适用版本... 1 1 ...

  2. 如何加固Linux系统

    如何加固Linux系统 一. 账户安全 1.1 锁定系统中多余的自建帐号 检查方法: 执行命令 #cat /etc/passwd #cat /etc/shadow 查看账户.口令文件,与系统管理员确认 ...

  3. linux系统安全加固--账号相关

    linux系统安全加固 一.账号相关 1.禁用或删除无用账号 减少系统无用账号,降低安全风险. 当我们的系统安装完毕后,系统默认自带了一些虚拟账户,比如bin.adm.lp.games.postfix ...

  4. Linux系统安全加固(一)

    Linux系统安全加固(一)     去年8月,某所网站遭黑客攻击瘫痪虽然港交所随后及时启用备用系统,但还是致使7支股票1支债卷被迫停牌,次日再次遭受攻击而瘫痪:在去年年底继CSDN信息安全出现之后, ...

  5. Linux 系统的安全加固

    Linux是一套免费使用和自由传播的类Unix操作系统,作为一个开放源代码的操作系统,Linux服务器以其安全.高效和稳定的显著优势而得以广泛应用,但如果不做好权限的合理分配,Linux系统的安全性还 ...

  6. Linux安全加固--系统相关

    一.系统相关 1.系统关键文件设置 1.1.设置文件初始权限 设置默认的umask值,增强安全性. [root@localhost ~]# umask 0022 /etc/profile最下面添加一行 ...

  7. linux安全加固(2)

    目录:1.BIOS2.SSH安全3.禁用telnet4.禁用代码编译5.ProFTP6.TCPwrappers7.创建一个SU组8.root通知9.history安全10.欢迎信息11.禁用所有特殊账 ...

  8. Linux系统安全需要注意的一些问题

    写在前面:当你部署一台服务器,第一步不应该是部署应用,安全是才是首要任务 如果某一天当你登录服务器发现 /bin/bash –i,python -c 'import pty; pty.spawn(&q ...

  9. 一致推崇的Linux系统还有那么安全吗?

    今天想谈谈关于系统安全:我们都知道,Linux早已成为趋势,在我们互联网中占有不可或缺的地位,在我们眼中,它是神圣的,不可替代的,无懈可击的:真的是这样的吗? 但是关于病毒对Linux所造成的一系列威 ...

随机推荐

  1. win10总是2分钟就自动睡眠怎么办 win10系统自动休眠bug怎么解决(转)

        解决方法如下: 1.右键点击开始图标,选择[运行],或者利用快捷键“win+R”打开运行窗口,win键是ctrl和alt键中间的徽标键:

  2. 命令行方式(SSH or powershell )远程windows server

    1. 使用ssh的方式远程登录window server 网上找到的方法大部分是freesshd 或者是Copsshd这样的工具 方式就是 下载安装文件,然后服务器端进行安装: 安装完成之后作为服务启 ...

  3. ubuntu更改分辨率

    1. 输入:$cvt 1920 1080 2 输入: $xrandr 3 输入: $sudo xrandr --newmode "1920x1080_60.00" 173.00 1 ...

  4. [转]curl的详细使用

    转自:http://www.cnblogs.com/gbyukg/p/3326825.html 下载单个文件,默认将输出打印到标准输出中(STDOUT)中 curl http://www.centos ...

  5. 使用 jstack 查询线程死锁错误日志 定位问题

    定位问题 (1) 首先 找到相应的进程 使用 ps -ef | grep 'com.sankuai.qcs.regulation.dispatch' 找到进程的ID;==>21980 (2) t ...

  6. Delphi中的Sender:TObject对象解析

    Delphi中的Sender:TObject对象解析 procedure TForm1.Button1Click(Sender: TObject); begin end; 解析:Procedure是过 ...

  7. Bootstrap辅助类

    前面的话 Bootstrap提供了一组工具类,用于辅助项目的开发.本文将详细介绍Bootstrap辅助类 文本色 通过颜色来展示意图,Bootstrap 提供了一组工具类.这些类可以应用于链接,并且在 ...

  8. Codeforces960G Bandit Blues 【斯特林数】【FFT】

    题目大意: 求满足比之前的任何数小的有A个,比之后的任何数小的有B个的长度为n的排列个数. 题目分析: 首先写出递推式,设s(n,k)表示长度为n的排列,比之前的数小的数有k个. 我们假设新加入的数为 ...

  9. Watchdogs利用Redis实施大规模挖矿,常见数据库蠕虫如何破?

    背景 2月20日17时许,阿里云安全监测到一起大规模挖矿事件,判断为Watchdogs蠕虫导致,并在第一时间进行了应急处置. 该蠕虫短时间内即造成大量Linux主机沦陷,一方面是利用Redis未授权访 ...

  10. 机器学习工作流程第一步:如何用Python做数据准备?

    这篇的内容是一系列针对在Python中从零开始运用机器学习能力工作流的辅导第一部分,覆盖了从小组开始的算法编程和其他相关工具.最终会成为一套手工制成的机器语言工作包.这次的内容会首先从数据准备开始. ...