一、补丁管理

1、查看系统信息

uname -a

2、配置yun源

CentosOS 可以直接升级

RHEL系列可以配置使用CentosOS源

3、升级软件包

yum –y update

二、安全工具

三、日志审计

1、操作日志系统

2、相关命令

who
last

1

四、内核参数

1、内核参数

vi /etc/sysctl.conf

net.ipv4.icmp_echo_ignore_broadcasts =  #忽略ICMP广播

net.ipv4.icmp_echo_ignore_all =  #忽略ICMP echo请求

net.ipv4.ip_default_ttl =  #修改TTL为128 
#sysctl -p

2、开启syncookies

编辑/etc/sysctl.conf文件

添加

net.ipv4.tcp_syncookies =

net.ipv4.tcp_max_syn_backlog =

net.ipv4.tcp_fin_timeout =

net.ipv4.tcp_synack_retries =

然后运行

sysctl -p

五、网络服务

1、SSH安全配置

    (1)禁止root登录

PermitRootLogin no

  (2)绑定端口、协议和IP地址

Port

Protocol

ListenAddress 192.168.1.1

  (3)允许密码错误次数

MaxAuthTries=

2、配置tcp_wrappers,限制允许远程登陆系统的IP范围

编辑/etc/hosts.deny

添加sshd:ALL

编辑/etc/hosts.allow

添加sshd:192.168.0.0/255.255.255.0

六、账号管理

1、密码文件passwd

cat /etc/passwd

2、密码文件shadow

cat /etc/shadow

3、用户管理

添加/删除组

groupadd、groupdel  

添加/删除用户

useradd、userdel  

锁定/解锁用户

passwd -l、passwd -u

4、空密码用户

(1)禁止root远程登录,只允许特定用户SSH登录

  编辑/etc/ssh/sshd_config,添加

 AllowUsers user1 user2

 PermitRootLogin no

(2)只允许特定的用户组执行su获得root权限

编辑/etc/pam.d/su文件,将一下代码的注释符去掉

#auth required pam_wheel.so use_uid

5、口令强度检查

--retry=N:修改密码时,出现错误的次数

--minlen=N:密码最少字符数

--dcredit=N:至少有N个数字

--ucredit=N:至少有N个大写字符

--lcredit=N:至少有N个小写字符

--ocredit=N:至少有N个其他字符

编辑/etc/pam.d/system-auth

password requisite pam_cracklib.so try_first_pass retry=

6、口令生存周期

vi /etc/login.defs

PASS_MAX_DAYS

PASS_WARN_AGE

7、认证失败后锁定

编辑/etc/pam.d/system-auth文件,在auth required pam_env.so 后面添加

auth required pam_tally.so onerr=fail deny= unlock_time=

8、禁止空密码用户登录

编辑/etc/pam.d/system-auth文件

auth sufficient pam_unix.so nullok try_first_pass

password sufficient pam_unix.so md5 shadow nullok try_first_pass use_authtok

七、文件权限

1、文件权限

ls -l /etc

格式:权限(属主,属组,其他)链接数 属主 属组 大小 最近修改时间 文件名

修改权限和属主:

# chmod u+x,g+w,o+r /tmp/abc

# chown test:test /tmp/abc

2、SetUID

ls -l /bin/ping

(1)设置SetUID

# chmod u+s /tmp/abc

# ls -l /tmp/abc

(2)查找SetUID文件

find / -perm - -type f -print

(3)文件系统属性

lsattr  install.log

根据不同的标志位设置不同的权限

lsattr  列出文件属性
chattr 修改文件属性
chattr +i install.log

3、文件系统属性

文件系统属性

a:即append,设定该参数后,只能向文件中添加数据,而不能删除,多用于服务器日文件安全,只有root才能设定这个属性。

c:即compresse,设定文件是否经压缩后再存储。读取时需要经过自动解压操作。

d:即no dump,设定文件不能成为dump程序的备份目标。

i:设定文件不能被删除、改名、设定链接关系,同时不能写入或新增内容。i参数对于文件系统的安全设置有很大帮助。

j:即journal,设定此参数使得当通过mount参数:data=ordered或data=writeback 挂载的文件系统,文件在写入时会先被记录(在journal中)。如果filesystem被设定参数为data=journal,则该参数自动失效。

s:保密性地删除文件或目录,即硬盘空间被全部收回。

u:与s相反,当设定为u时,数据内容其实还存在磁盘中,可以用于undeletion.

4、完整性检查

(1)md5sum

#cat record.sh

   md5sum /etc/shadow >>md5.txt

   md5sum /bin/ls >>md5.txt

   md5sum /bin/netstat >>md5.txt

#cat md5.txt

   e3faf4e266e8062b62357eb944a718f0  /etc/shadow

   e3faf4e266e8062b62357eb944a718f0  /etc/shadow

   4feb28d49aeb1c51fb827c7733ebf436  /bin/ls

   a3939f9a264880611f2ac7f255e339c6  /bin/netstat

#md5sum -c md5.txt

/etc/shadow: 确定

/etc/shadow: 确定

/bin/ls: 确定

/bin/netstat: 确定

5、设置Bash保留历史命令的条数

vi /etc/profile

HISTSIZE=

HISTFILESIZE=

6、设置登录超时

vi /etc/profile

TMOUT=

7、设置root用户的umask为077

编辑/root/.bash_profil

添加umask

8、防止误使用Ctrl+Alt+Del重启系统

vi /etc/inittab

注释:ca::ctrlaltdel:/sbin/shutdown -r -t  now

111

【应急响应】Linux安全加固的更多相关文章

  1. Windows应急响应和系统加固(2)——Windows应急响应的命令使用和安全检查分析

    Windows应急响应的命令使用和安全检查分析 1.获取IP地址: ·ipconfig /all,获取Windows主机IP地址信息: ·ipconfig /release,释放网络IP位置: ·ip ...

  2. Windwos应急响应和系统加固(1)——Windwos操作系统版本介绍

    Windwos操作系统版本介绍 1. Micorsoft  Windows XP  ·Microsoft官方发布时间以及终止提供服务时间:2001.10.25-2014.4.8   产生漏洞:MS08 ...

  3. Linux安全事件应急响应排查方法总结

    Linux安全事件应急响应排查方法总结 Linux是服务器操作系统中最常用的操作系统,因为其拥有高性能.高扩展性.高安全性,受到了越来越多的运维人员追捧.但是针对Linux服务器操作系统的安全事件也非 ...

  4. Linux应急响应姿势浅谈

    一.前记 无论是甲方还是乙方的同学,应急响应可能都是家常便饭,你可能经常收到如下反馈: 运维同事 --> 服务器上存在可疑进程,系统资源占用高: 网络同事 --> 监控发现某台服务器对外大 ...

  5. 最全Linux应急响应技巧 【转】

    概述 Linux环境下处理应急响应事件往往会更加的棘手,因为相比于Windows,Linux没有像Autorun.procexp这样的应急响应利器,也没有统一的应急响应处理流程.所以,这篇文章将会对L ...

  6. 一些关于Linux入侵应急响应的碎碎念

    近半年做了很多应急响应项目,针对黑客入侵.但疲于没有时间来总结一些常用的东西,寄希望用这篇博文分享一些安全工程师在处理应急响应时常见的套路,因为方面众多可能有些杂碎. 个人认为入侵响应的核心无外乎四个 ...

  7. Linux应急响应入侵排查思路

    0x00 前言 ​ 当企业发生黑客入侵.系统崩溃或其它影响业务正常运行的安全事件时,急需第一时间进行处理,使企业的网络信息系统在最短时间内恢复正常工作,进一步查找入侵来源,还原入侵事故过程,同时给出解 ...

  8. Linux应急响应(四):盖茨木马

    0x00 前言 ​ Linux盖茨木马是一类有着丰富历史,隐藏手法巧妙,网络攻击行为显著的DDoS木马,主要恶意特点是具备了后门程序,DDoS攻击的能力,并且会替换常用的系统文件进行伪装.木马得名于其 ...

  9. Linux应急响应(三):挖矿病毒

    0x00 前言 ​ 随着虚拟货币的疯狂炒作,利用挖矿脚本来实现流量变现,使得挖矿病毒成为不法分子利用最为频繁的攻击方式.新的挖矿攻击展现出了类似蠕虫的行为,并结合了高级攻击技术,以增加对目标服务器感染 ...

  10. Linux应急响应(二):捕捉短连接

    0x00 前言 ​ 短连接(short connnection)是相对于长连接而言的概念,指的是在数据传送过程中,只在需要发送数据时,才去建立一个连接,数据发送完成后,则断开此连接,即每次连接只完成一 ...

随机推荐

  1. day03_2spring3

    SSH整合(续) 一.spring整合hibernate:有hibernate.cfg.xml 前提:导入jar包,在前面已经介绍了jar包的整合,我们只需要将整合的所有jar包导进去即可. 1.创建 ...

  2. Public Key Retrieval is not allowed

    链接MySQL数据库报错: 数据库连接url中添加对应属性的支持.allowPublicKeyRetrieval=true&useSSL=false url: jdbc:mysql://loc ...

  3. localStorage存、取数组

    localStorage存储数组时需要先使用JSON.stringify()转成字符串,取的时候再字符串转数组JSON.parse(). var arr=[1,2,3,4]; localStorage ...

  4. 立即关机C++源码

    #include<windows.h> using namespace std; int main(){ system("shutdown /p"); return 0 ...

  5. 文本中自动出现的 &#8203

    文本中自动出现的 &#8203   所借鉴原页面地址:https://blog.csdn.net/judyc/article/details/53097142 因判断容器内字符长度来做其它处理 ...

  6. STL初学

    标准模板库STL初学 线性数据结构 vector 一维向量,相当于数组 list 链表 map 映射,提供(Key,Value)式操作,相当于哈希表 string char字符串 queue 队列,先 ...

  7. JUC—Callable接口

    一.callable接口是什么? 面试题: 获得多线程的方法几种? 正确答案如下: 传统的 是继承thread类和实现runnable接口, java5以后又有实现 callable接口 和 java ...

  8. jupyter快捷键使用

    1. 服务启动与停止 环境为windows10系统 ctrl+R输入cmd,输入命令jupyter notebook启动 使用Control-c停止服务 2.常用快捷键 模式切换 当前cell侧边为蓝 ...

  9. 一点点学习PS--实战四

    本节实战,较为基础,主要是设置画布大小.字体的输入 1.工具使用 文字工具:直排文字工具,竖排文字 2.重点: (1)画影子: ----人物图层拷贝,CTRL+T,右键选择垂直翻转,拖拽出来,即可得到 ...

  10. Linux - Shell - 参数获取

    概述 参数 背景 复习一下 shell 脚本的参数获取 场景 os centos7 1. 参数: 基础 概述 简单描述 参数 1. 获取参数 获取 第一个 参数 获取参数 使用 ${num} 获取参数 ...