一、账号和口令

1.1 禁用或删除无用账号

减少系统无用账号,降低安全风险。

操作步骤
userdel <用户名> //删除不必要的账号。
passwd -l <用户名> //锁定不必要的账号。
passwd -u <用户名> //解锁必要的账号。

1.2 检查特殊账号

检查是否存在空口令和root权限的账号。

操作步骤
1、
awk -F: '($2"")' /etc/shadow //查看空口令账号。
awk -F: '($30)' /etc/passwd //查看UID为零的账号。
2、
passwd <用户名> //为空口令账号设定密码。
确认UID为零的账号只有root账号。

1.3 添加口令策略

加强口令的复杂度等,降低被猜解的可能性。

操作步骤
1、vim /etc/login.defs 修改配置文件。
PASS_MAX_DAYS 90 #新建用户的密码最长使用天数
PASS_MIN_DAYS 0 #新建用户的密码最短使用天数
PASS_WARN_AGE 7 #新建用户的密码到期提前提醒天数
PASS_MIN_LEN 8 #设定最小用户密码长度为8位

2、使用chage命令修改用户设置。(针对已创建用户)
例如,chage -m 0 -M 30 -I 5 -W 7 <用户名>
表示将此用户的密码最长使用天数设为30,最短使用天数设为0,密码过期后5天之后账户失效,过期前7天警告用户。

3、设置连续输错五次密码,账号锁定十分钟。(普通账户)
vim /etc/pam.d/system-auth(redhat、centos)

  • auth required pam_tally.so onerr=fail deny=5 unlock_time=600(redhat6、centos6及以下版本)
  • auth required pam_tally2.so onerr=fail deny=5 unlock_time=600  vim /etc/pam.d/sshd (redhat、centos)(ssh登录)
  • auth required pam_tally.so onerr=fail deny=5 unlock_time=600(redhat6、centos6及以下版本)
  • auth required pam_tally2.so onerr=fail deny=5 unlock_time=600

1.4 限制用户su

限制能su到root的用户。  
操作步骤

vim /etc/pam.d/su

例如,只允许wheel组用户su到root,则添加

  • auth sufficient /lib/security/pam_rootok.so
  • auth required /lib/security/pam_wheel.so group=wheel

1.5 设置密码复杂度

对于采用静态口令认证技术的设备,口令包括数字、小写字母、大写字母和特殊符号4类中至少3类。  
操作步骤

  • Redhat、centos:/etc/pam.d/system-auth,
  • Suse9:/etc/pam.d/passwd,
  • Suse10,Suse11:/etc/pam.d/common-password,

例如:

  • password requisite pam_cracklib.so ucredit=-1 lcredit=-1 dcredit=-1(redhat6、centos6)
  • password requisite pam_pwquality.so dcredit=-1 ucredit=-1 ocredit=-1 lcredit=0(redhat7、 centos7)

注:ucredit:大写字母个数;lcredit:小写字母个数;dcredit:数字个数;ocredit:特殊字符个数

1.6 设置密码重复使用次数限制

对于采用静态口令认证技术的设备,设置密码不能重复前5次使用过的。  
操作步骤

  • Redhat:/etc/pam.d/system-auth,
  • Suse9:/etc/pam.d/passwd
  • Suse10,Suse11:/etc/pam.d/common-password

在password sufficient pam_unix.so xxxxx 一行后添加 remember=5  
例如:
password    sufficient    pam_unix.so sha512 shadow nullok try_first_pass use_authtok remember=5

二、服务

2.1 关闭不必要的服务

关闭不必要的服务(如普通服务和xinetd服务),降低风险。

操作步骤
停止服务
systemctl stop <服务名>
设置服务在开机时不自动启动。
systemctl disable <服务名>
说明: 对于部分老版本的Linux操作系统(如CentOS 6)
chkconfig --level <init级别> <服务名> off设置服务在指定init级别下开机时不自动启动。

2.2 SSH服务安全

对SSH服务进行安全加固,防止容易被暴力破解成功。
 操作步骤

vim /etc/ssh/sshd_config

  • 不允许root账号直接登录系统。

    设置 PermitRootLogin 的值为 no。
  • 修改SSH使用的协议版本。

    设置 Protocol 的版本为 2。(centos7默认第一版本已拒绝)
  • 密码错误超过次数断开连接(默认6次)。

    设置 MaxAuthTries 的值为 3。
  • 修改默认端口

    设置Port的值为非22。

    配置文件修改完成后,重启sshd服务生效。

三、文件系统

3.1 设置umask值

设置默认的umask值,增强安全性。
 操作步骤

vim /etc/profile

  • umask 077 #在最后一行添加
  • source /etc/profile  #使操作立即生效

即新创建的目录属主拥有读写执行权限,同组用户拥有读和执行权限,其他用户无权限。

文件属主拥有读写权限,同组用户拥有读权限,其他用户无权限。

3.2 设置登录超时

设置系统登录后,连接超时时间,增强安全性。  
操作步骤

vim /etc/profile

  • export TMOUT=300    # 设置300秒内用户无操作就字段断开终端
  • readonly TMOUT     # 将值设置为readonly 防止用户更改
  • source /etc/profile  #使操作立即生效

3.3 删除潜在危险文件

.rhosts,.netrc,hosts.equiv等文件都具有潜在的危险,如果没有应用,应该删除  
操作步骤
find / -name .rhosts  
find / -name .netrc
find / -name hosts.equiv
若存在相关文件,加上.bak后缀
mv .rhost .rhost.bak  
mv .netr .netr.bak  
mv hosts.equiv hosts.equiv.bak

3.4 设置重要目录或文件权限

操作步骤

chmod <权限> <目录或文件>

例如:

chmod 750 /etc/

请按照下表更改权限:

权限 目录或文件 备注
400 /etc/shadow
600 /etc/xinetd.conf 低版本的Linux系统采用inetd.conf配置文件
600 /etc/security
600 /etc/grub.conf 如果/etc/grub.conf文件存在,且非链接文件,则执行chmod 600 /etc/grub.conf; 如果/boot/grub/grub.conf文件存在,则执行chmod 600 /boot/grub/grub.conf; 如果/etc/lilo.conf文件存在,则执行chmod 600 /etc/lilo.conf。
600 /boot/grub/grub.conf
600 /etc/lilo.conf
600 /etc/lilo.conf
644 /etc/services
644 /etc/passwd
644 /etc/group
750 /etc/
750 /etc/rc2.d
750 /etc/rc1.d/
750 /etc/rc4.d
750 /etc/rc5.d
750 /etc/rc0.d
750 /etc/rc6.d
750 /etc/rc.d/init.d/
750 /etc/rc3.d
750 /tmp

四、日志

4.1 syslogd日志

启用日志功能,并配置日志记录。  
操作步骤
Linux系统默认启用以下类型日志:

  • 系统日志(默认)/var/log/messages
  • cron日志(默认)/var/log/cron
  • 安全日志(默认)/var/log/secure

注意:部分系统可能使用syslog-ng日志,配置文件为:/etc/syslog-ng/syslog-ng.conf。

您可以根据需求配置详细日志。

4.2 记录所有用户的登录和操作日志

通过脚本代码实现记录所有用户的登录操作日志,防止出现安全事件后无据可查。
操作步骤

  • 1、运行 [root@xxx /]# vim /etc/profile打开配置文件。
  • 2、在配置文件中输入以下内容:
history

USER=`whoami`

USER_IP=`who -u am i 2>/dev/null| awk '{print $NF}'|sed -e 's/[()]//g'`

if [ "$USER_IP" = "" ]; then

USER_IP=`hostname`

fi

if [ ! -d /var/log/history ]; then

mkdir /var/log/history

chmod 733 /var/log/history

fi

if [ ! -d /var/log/history/${LOGNAME} ]; then

mkdir /var/log/history/${LOGNAME}

chmod 300 /var/log/history/${LOGNAME}

fi

export HISTSIZE=4096

DT=`date +"%Y%m%d_%H:%M:%S"`

export HISTFILE="/var/log/history/${LOGNAME}/${USER}@${USER_IP}_$DT"

chmod 600 /var/log/history/${LOGNAME}/* 2>/dev/null
  • 3、运行 [root@xxx /]# source /etc/profile 加载配置生效。

注意: /var/log/history 是记录日志的存放位置,可以自定义。

通过上述步骤,可以在 /var/log/history 目录下以每个用户为名新建一个文件夹,每次用户退出后都会产生以用户名、登录IP、时间的日志文件,包含此用户本次的所有操作。  
注:编辑/etc/bashrc文件,最后加入

HISTTIMEFORMAT="%F %T  "

export HISTTIMEFORMAT

保存后退出,关闭当前shell,并重新登录这个时候,在变量HISTFILE所指向文件中,就有记录命令执行的时间了 。

五、Linux升级

yum -y update
#内核、OS版本、所有软件都会升级,会更改相关配置环境。由于系统与硬件的兼容性问题,有可能升级内核后导致服务器不能正常启动,这是非常可怕的,如果没有特别的需要,建议不要随意升级内核!所以运维人员对于生产服务器操作系统的升级要慎重。

如果不想升级内核及系统版本,则在执行yum update之前在 /etc/yum.conf 的 [main] 后面添加以下配置

  • exclude=kernel*   #不升级内核
  • exclude=centos-release*   #不升级系统

六、防火墙维护

CentOS7默认的防火墙不是iptables,而是firewalld,如果要使用iptables,
请参考下列方法:  
安装iptables iptables-services  
#先检查是否安装了iptables

service iptables status  
#安装iptables

yum install -y iptables
#安装iptables-services

yum install iptables-services  
#停止firewalld服务

systemctl stop firewalld  
#禁用firewalld服务

systemctl mask firewalld


五链:

五表:

linux防火墙基本使用:

#查看iptables现有规则

iptables -L –n  

#先设置默认规则,允许入站,再设置规则

iptables -P INPUT ACCEPT  

#清空所有默认规则

iptables –F  

#清空所有自定义规则

iptables –X  

#所有计数器归0

iptables -Z 

#允许来自于lo接口的数据包(本地访问)

iptables -A INPUT -i lo -j ACCEPT

#开放22端口

iptables -A INPUT -p tcp --dport 22 -j ACCEPT

#开放21端口(FTP)

iptables -A INPUT -p tcp --dport 21 -j ACCEPT

#开放80端口(HTTP)

iptables -A INPUT -p tcp --dport 80 -j ACCEPT

#开放443端口(HTTPS)

iptables -A INPUT -p tcp --dport 443 -j ACCEPT

#允许ping

iptables -A INPUT -p icmp --icmp-type 8 -j ACCEPT

#允许接受本机请求之后的返回数据 RELATED,是为FTP设置的

iptables -A INPUT -m state --state  RELATED,ESTABLISHED -j ACCEPT

#其他入站一律丢弃(默认规则)

iptables -P INPUT DROP

#所有出站一律绿灯(默认规则)

iptables -P OUTPUT ACCEPT

#所有转发一律丢弃(默认规则)

iptables -P FORWARD DROP

#如果要添加内网ip信任(接受其所有TCP请求)

iptables -A INPUT -p tcp -s ***.***.***.*** -j ACCEPT

#要封停一个IP,使用下面这条命令:

iptables -I INPUT -s ***.***.***.*** -j DROP

#要解封一个IP,使用下面这条命令:

iptables -D INPUT -s ***.***.***.*** -j DROP

# -----------------------------

#保存上述规则

service iptables save

#设置iptables开机启动

chkconfig iptables on(redhat6、centos6)

systemctl enable iptables.service(redhat7、centos7)

#重启服务

systemctl restart iptables.service(redhat7、centos7)

service iptables restart

#开启服务

systemctl start iptables.service(redhat7、centos7)

service iptables start

#查看状态

systemctl status iptables.service(redhat7、centos7)

service iptables status

本文来自360的一次安全讲座

Linux常用的安全加固的更多相关文章

  1. Linux常用的安全工具 转自https://yq.aliyun.com/articles/52540?spm=5176.100239.blogcont24250.8.CfBYE9

    摘要: 原创作品,允许转载,转载时请务必以超链接形式标明文章 原始出处 .作者信息和本声明.否则将追究法律责任.http://chenguang.blog.51cto.com/350944/85790 ...

  2. Linux常用的安全工具

    Linux常用的安全工具 "工欲善其事,必先利其器".作为一个合格的系统管理员,要应对可能发生的安全事件,掌握Linux下各种必须的安全工具是首要大事.本文主要介绍Linux上常用 ...

  3. Linux常用命令(一)

    Linux常用命令 1. pwd查看当前路径(Print Working Directory)    [root@CentOS ~]# pwd/root 2. cd .. 返回上一级 .. 表示上一级 ...

  4. linux常用命令的介绍

    本文主要介绍Linux常用命令工具,比如用户创建,删除,文件管理,常见的网络命令等 如何创建账号: 1. 创建用户 useradd -m username -m 表示会在/home 路径下添加创建用户 ...

  5. linux常用指令

    整理下来的linux常用指令 mount [-t 文件系统] 设备文件名 挂载点挂载命令,一般用于在挂载ISO,或者其他比如U盘等设备时使用,[-t iso9660]为固定格式,可写可不写,非必写项. ...

  6. linux——常用命令与脚本

    linux常用命令 --文件管理pwd --查看当前目录cd --切换当前目录ls --列出当前目录下的所有文件touch --创建文件mkdir --建立目录rmdir --删除空目录rm --删除 ...

  7. Linux 常用工具小结:(5) lftp工具使用

    Linux 常用工具小结:(1) lftp工具使用. 这里会按照一些比较常用的功能列出,并举一个具体的例子逐一解释功能. 通常使用ftp过程是登陆ftp,浏览ftp内容,下载ftp文件,或者上传ftp ...

  8. DOS 和 Linux 常用命令的对比

    DOS 和 Linux 常用命令的对比 许多在 shell 提示下键入的 Linux命令都与你在 DOS 下键入的命令相似.事实上,某些命令完全相同. 本附录提供了 Windows的 DOS 提示下的 ...

  9. 第一章,Linux常用命令

    20161124 Linux常用命令1.find find /etc/ -size +50k -lsfind /etc/ -size +50k -ls 2> /dev/null查看目录下大于50 ...

随机推荐

  1. 中阶d01-- web前端 html css js bootstrap

    html 页面骨架结构css 页面优化js(脚本语言) 页面和用户互动 bootstrap 前端框架,主要实现不同设备直接打开页面时播放比例设置(全屏暂时,不要滚动条)

  2. JS 浏览器BOM-->简介和属性

    1.简介: BOM:浏览器对象模型(Browser Object Model),是一个用于访问浏览器和计算机屏幕的对象集合.我们可以通过全局对象window来访问这些对象.  2.属性 window. ...

  3. String 对象-->replace() 方法

    1.定义和用法 replace() 方法用于字符串替换 语法: string.replace(searchvalue,newvalue) 参数: searchvalue:被替换的字符串 newvalu ...

  4. web.page.regexp用法(全网唯一)

    前言 因为这个东西“web.page.regexp”,差点把自己杀了.一点都不夸张,这将近30度的天气,办公室不开空调,又要闷,还要带着口罩,躁动的很.加上这个鬼东西“web.page.regexp” ...

  5. CentOS7安装MYCAT中间件

    MYCAT是一个被广泛使用的功能强大的开源的数据库中间件,当然他的理想不仅仅是做一个中间件.这篇文章主要记录MYCAT服务的搭建过程,下篇会继续更新MYCAT的使用配置. 本篇记录将使用CentOS7 ...

  6. list[列表]的使用

    #!/usr/bin/env python3# -*- coding:utf-8 -*-# name:zzyushop_list = [["手机",5000], ["电脑 ...

  7. js使用经验--遍历

    目的 在平常的前端开发中,一般需要处理数据(数组和对象居多),特别是复杂功能的页面,通常是一到两个对象数组(有时数组里面还有数组).大多数前端开发的难点就是这里,耗时大.以前我在工作中,遇到的支付方式 ...

  8. webWMS开发过程记录(三)- 需求分析(略)

    行业:汽车零部件制造 大方向:非唯一码,需有一套简单.易用.受控的误操作撤回机制 现状(略) 目标(略) 注:由于项目是自己根据以往经验,自己开发的,且开发时间不固定,故需求分析暂略,我会把工作重点放 ...

  9. 选择IT行业的自我心得,希望能帮助到各位!(一)

    我记得当时我还在读书的时候,也是卡在高三在后面,纠结我该怎么选择专业,一边顶着高考的压力又担心这担心那的,前怕狼后怕虎,一直犹犹豫豫,知道有一天我就听到谁谁谁的哥哥学IT老牛逼了,一个月多少多少钱,买 ...

  10. 5. git 过滤,让某文件夹里无法提交新添加的文件

    . gitignore  向此文件里添加文件路径就行了.如( web/core/ ) 此时git status将看不到添加的文件或文件夹了