系統(tǒng)加固之Linux安全加固

Linux系統(tǒng)基本操作

成都創(chuàng)新互聯(lián)公司-專業(yè)網(wǎng)站定制、快速模板網(wǎng)站建設(shè)、高性價(jià)比三水網(wǎng)站開發(fā)、企業(yè)建站全套包干低至880元,成熟完善的模板庫,直接使用。一站式三水網(wǎng)站制作公司更省心,省錢,快速模板網(wǎng)站建設(shè)找我們，業(yè)務(wù)覆蓋三水地區(qū)。費(fèi)用合理售后完善，十余年實(shí)體公司更值得信賴。

文件結(jié)構(gòu)圖及關(guān)鍵文件功能介紹

Linux文件結(jié)構(gòu)

Linux文件結(jié)構(gòu)圖

二級(jí)目錄

| 目錄 | 功能 |

| /bin | 放置的是在單人維護(hù)模式下能被操作的指令，在/bin底下的指令可以被root與一般賬號(hào)所使用 |

| /boot | 這個(gè)目錄只要在放置開機(jī)會(huì)使用到的文件，包括 Linux核心文件以及開機(jī)選單與開機(jī)所需配置的文件等等 |

| /dev | 在Linux系統(tǒng)上，任何裝置與接口設(shè)備都是以文件的形態(tài)存在于這個(gè)目錄當(dāng)中的 |

| /etc |

系統(tǒng)主要的配置文件幾乎都放在這個(gè)目錄內(nèi)，例如人員賬號(hào)密碼各種服務(wù)的啟動(dòng)檔，系統(tǒng)變量配置等

|

| /home | 這個(gè)是系統(tǒng)默認(rèn)的用戶家目錄（home directory) |

| /lib | /lib放置的則是在開機(jī)時(shí)會(huì)用到的函式庫，以及在/lib或/sbin底下的指令會(huì)呼叫的函式庫 |

| /media | /media底下放置的是可以移出的裝置，包括軟盤、光盤、DVD等等裝置都掛載于此 |

| /opt | 給第三方協(xié)議軟件放置的目錄 |

| /root | 系統(tǒng)管理員（root）的家目錄 |

| /sbin | 放置/sbin底下的為開機(jī)過程中所需要的，里面包括了開機(jī)、修復(fù)、還原系統(tǒng)所需的指令。 |

| /srv | srv可視為[service]的縮寫，是一些網(wǎng)絡(luò)服務(wù)啟動(dòng)之后，這些服務(wù)所需要取用的數(shù)據(jù)目錄 |

| /tmp | 這是讓一般使用者或是正在執(zhí)行的程序暫時(shí)放置文件的地方 |

文件

賬號(hào)和權(quán)限

系統(tǒng)用戶

超級(jí)管理員 uid=0

系統(tǒng)默認(rèn)用戶 系統(tǒng)程序使用，從不登錄

新建普通用戶 uid大于500

/etc/passwd

/etc/shadow

用戶管理

權(quán)限管理

解析文件權(quán)限

文件系統(tǒng)安全

查看權(quán)限：ls -l

修改權(quán)限：

**chmod **

** chgrp**

設(shè)置合理的初始文件權(quán)限

很奇妙的UMASK:

umask值為0022所對(duì)應(yīng)的默認(rèn)文件和文件夾創(chuàng)建的缺省權(quán)限分別為644和755

文件夾其權(quán)限規(guī)則為：777-022-755

文件其權(quán)限規(guī)則為：777-111-022=644（因?yàn)槲募J(rèn)沒有執(zhí)行權(quán)限）

修改UMASK值：

1、直接在命令行下 umask xxx(重啟后消失）

2、修改/etc/profile中設(shè)定的umask值

系統(tǒng)加固

鎖定系統(tǒng)中多余的自建賬號(hào)

檢查shadow中空口令賬號(hào)

檢查方法：

加固方法：

使用命令passwd -l 用戶名 鎖定不必要的賬號(hào)

使用命令passwd -u 用戶名解鎖需要恢復(fù)的賬號(hào)

使用命令passwd 用戶名 為用戶設(shè)置密碼

設(shè)置系統(tǒng)密碼策略

執(zhí)行命令查看密碼策略設(shè)置

加固方法：

禁用root之外的超級(jí)用戶

檢測方法：

awk -F ":" '( 1}' /etc/passwd

加固方法：

** passwd -l 用戶名**

****

限制能夠su為root的用戶

查看是否有auth required /libsecurity/pam_whell.so這樣的配置條目

加固方法：

重要文件加上不可改變屬性

把重要文件加上不可改變屬性

Umask安全

SSH安全：

禁止root用戶進(jìn)行遠(yuǎn)程登陸

檢查方法：

加固方法：

更改服務(wù)端口：

屏蔽SSH登陸banner信息

僅允許SSH協(xié)議版本2

防止誤使用Ctrl+Alt+Del重啟系統(tǒng)

檢查方法：

加固方法：

設(shè)置賬號(hào)鎖定登錄失敗鎖定次數(shù)、鎖定時(shí)間

檢查方法：

修改賬號(hào)TMOUT值，設(shè)置自動(dòng)注銷時(shí)間

檢查方法：

cat /etc/profile | grep TMOUT

加固方法：

vim /etc/profile

增加

TMOUT=600 無操作600秒后自動(dòng)退出

設(shè)置BASH保留歷史命令的條目

檢查方法：

cat /etc/profile | grep HISTSIZE

加固方法：

vim /etc/profile

修改HISTSIZE=5即保留最新執(zhí)行的5條命令

設(shè)置注銷時(shí)刪除命令記錄

檢查方法：

cat /etc/skel/.bash_logout 增加如下行

rm -f $HOME/.bash_history

這樣，系統(tǒng)中的所有用戶注銷時(shí)都會(huì)刪除其命令記錄，如果只需要針對(duì)某個(gè)特定用戶，，如root用戶進(jìn)行設(shè)置，則可只在該用戶的主目錄下修改/$HOME/.bash_history文件增加相同的一行即可。

設(shè)置系統(tǒng)日志策略配置文件

日志的主要用途是 系統(tǒng)審計(jì) 、監(jiān)測追蹤和分析。為了保證 Linux 系 統(tǒng)正常運(yùn)行、準(zhǔn)確解決遇到的各種樣統(tǒng)問題，認(rèn)真地讀取日志文件是管理員的一項(xiàng)非常重要任務(wù)。

UNIX/ Linux 采用了syslog 工具來實(shí)現(xiàn)此功能，如果配置正確的 話，所有在主機(jī)上發(fā)生的事情都會(huì)被記錄下來不管是好還是壞的 。

檢查方法：

cat /etc/profile | grep HISTSIZE

確定syslog服務(wù)是否啟用

查看syslogd的配置，并確認(rèn)日志文件是否存在

阻止系統(tǒng)響應(yīng)任何從外部/內(nèi)部來的ping請(qǐng)求

加固方法：

echo 1 /proc/sys/net/ipv4/icmp_echo_ignore_all

（九）Linux系統(tǒng)安全隱患及加固措施

姓名：黃婷?? ?學(xué)號(hào)：19020100410??學(xué)院：電子工程學(xué)院

轉(zhuǎn)自： ;request_id=162848234916780357255732biz_id=0utm_medium=distribute.pc_search_result.none-task-blog-2~all~top_click~default-2-103947313.first_rank_v2_pc_rank_v29utm_term=Linux%E7%B3%BB%E7%BB%9Fspm=1018.2226.3001.4449#t8

【嵌牛導(dǎo)讀】Linux系統(tǒng)安全隱患及加固措施

【嵌牛鼻子】Linux系統(tǒng)? ?安全隱患及加固措施

【嵌牛提問】Linux系統(tǒng)如何保護(hù)？

【嵌牛正文】

用戶賬戶以及登錄安全

刪除多余用戶和用戶組。Linux是多用戶操作系統(tǒng)，存在很多種不一樣的角色系統(tǒng)賬號(hào)，當(dāng)安裝完成操作系統(tǒng)之后，系統(tǒng)會(huì)默認(rèn)為未添加許用戶組及用戶，若是部分用戶或是用戶組不需要，應(yīng)當(dāng)立即刪除它們，否則黑客很有可能利用這些賬號(hào)，對(duì)服務(wù)器實(shí)施攻擊。具體保留哪些賬號(hào)，可以依據(jù)服務(wù)器的用途來決定。

關(guān)閉不需要的系統(tǒng)服務(wù)。操作系統(tǒng)安裝完成之后，其會(huì)在安裝的過程當(dāng)中，會(huì)自主的啟動(dòng)各種類型的服務(wù)程序內(nèi)容，對(duì)于長時(shí)間運(yùn)行的服務(wù)器而言，其運(yùn)行的服務(wù)程序越多，則系統(tǒng)的安全性就越低。所以，用戶或是用戶組就需要將一些應(yīng)用不到的服務(wù)程序進(jìn)行關(guān)閉，這對(duì)提升系統(tǒng)的安全性能，有著極大的幫助。

密碼安全策略。在Linux之下，遠(yuǎn)程的登錄系統(tǒng)具備兩種認(rèn)證的形式：即 密鑰 與密碼認(rèn)證。其中，密鑰認(rèn)證的形式，主要是將 公鑰 儲(chǔ)存在遠(yuǎn)程的服務(wù)器之上， 私鑰 存儲(chǔ)在本地。當(dāng)進(jìn)行系統(tǒng)登陸的時(shí)候，再通過本地的私鑰，以及遠(yuǎn)程的服務(wù)器公鑰，進(jìn)行配對(duì)認(rèn)證的操作，若是認(rèn)證的匹配度一致，則用戶便能夠暢通無阻的登錄系統(tǒng)。此類認(rèn)證的方式，并不會(huì)受到暴力破解的威脅。與此同時(shí)，只需要確保本地私鑰的安全，使其不會(huì)被黑客所盜取即可，攻擊者便不能夠通過此類認(rèn)證方式登陸到系統(tǒng)中。所以，推薦使用密鑰方式進(jìn)行系統(tǒng)登陸。

有效應(yīng)用su、 sudo 命令。su命令的作用的是對(duì)用戶進(jìn)行切換。當(dāng)管理員登錄到系統(tǒng)之后，使用su命令切換到超級(jí)用戶角色來執(zhí)行一些需要超級(jí)權(quán)限的命令。但是由于超級(jí)用戶的權(quán)限過大，同時(shí)，需要管理人員知道超級(jí)用戶密碼，因此su命令具有很嚴(yán)重的管理風(fēng)險(xiǎn)。

sudo命令允許系統(tǒng)賦予普通用戶一些超級(jí)權(quán)限，并且不需普通用戶切換到超級(jí)用戶。因此，在管理上應(yīng)當(dāng)細(xì)化權(quán)限分配機(jī)制，使用sudo命令為每一位管理員服務(wù)其特定的管理權(quán)限。

遠(yuǎn)程訪問及登陸認(rèn)證安全

遠(yuǎn)程登錄應(yīng)用 SSH 登陸方式。telnet是一類存在安全隱患的登錄認(rèn)證服務(wù)，其在網(wǎng)絡(luò)之上利用明文傳輸內(nèi)容，黑客很容易通過結(jié)果telnet數(shù)據(jù)包，獲得用戶的登陸口令。并且telnet服務(wù)程序的安全驗(yàn)證方式存在較大的安全隱患，使其成為黑客攻擊的目標(biāo)。SSH服務(wù)則會(huì)將數(shù)據(jù)進(jìn)行加密傳輸，能夠防止 DNS 欺騙以及IP欺騙，并且傳輸?shù)臄?shù)據(jù)是經(jīng)過壓縮，在一定程度上保證了服務(wù)器遠(yuǎn)程連接的安全。

文件系統(tǒng)的安全

加固系統(tǒng)重要文件。在Linux系統(tǒng)中，如果黑客取得超級(jí)權(quán)限，那么他在操作系統(tǒng)里面就不會(huì)再有任何的限制地做任何事情。在這種情況下，一個(gè)加固的文件系統(tǒng)將會(huì)是保護(hù)系統(tǒng)安全的最后一道防線。管理員可通過 chattr 命令鎖定系統(tǒng)一些重要文件或目錄。

文件權(quán)限檢查與修改。如果操作系統(tǒng)當(dāng)中的重要文件的權(quán)限設(shè)置不合理，則會(huì)對(duì)操作系統(tǒng)的安全性，產(chǎn)生最為直接的影響。所以，系統(tǒng)的運(yùn)行維護(hù)人員需要及時(shí)的察覺到權(quán)限配置不合理的文件和目錄，并及時(shí)修正，以防安全事件發(fā)生。

安全設(shè)定/tmp、/var/tmp、/dev/shm。在該操作系統(tǒng)當(dāng)中，其用于存放臨時(shí)文件的目錄，主要有兩個(gè)，分別為/tmp與/var/tmp。它們有個(gè)共同特點(diǎn)，就是所有的用戶可讀可寫和執(zhí)行，這樣就對(duì)系統(tǒng)產(chǎn)生了安全隱患。針對(duì)這兩個(gè)目錄進(jìn)行設(shè)置，不允許這兩個(gè)目錄下執(zhí)行應(yīng)用程序。

系統(tǒng)軟件安全

絕大多數(shù)的服務(wù)器遭受攻擊是因?yàn)橄到y(tǒng)軟件或者應(yīng)用程序有重大漏洞。黑客通過這些漏洞，可以輕松地侵入服務(wù)器。管理員應(yīng)定期檢查并修復(fù)漏洞。最常見的做法是升級(jí)軟件，將軟件保持在最新版本狀態(tài)。這樣就可以在一定程度上降低系統(tǒng)被入侵的可能性。

服務(wù)器安全加固_Linux配置賬戶鎖定策略

使用下面命令，查看系統(tǒng)是否含有pam_tally2.so模塊，如果沒有就需要使用pam_tally.so模塊，兩個(gè)模塊的使用方法不太一樣，需要區(qū)分開來。

編輯系統(tǒng)/etc/pam.d/system-auth 文件，一定要在pam_env.so后面添加如下策略參數(shù)：

上面只是限制了從終端su登陸，如果想限制ssh遠(yuǎn)程的話，要改的是/etc/pam.d/sshd這個(gè)文件，添加的內(nèi)容跟上面一樣！

編輯系統(tǒng)/etc/pam.d/sshd文件，注意添加地點(diǎn)在#%PAM-1.0下一行，即第二行添加內(nèi)容

ssh鎖定用戶后查看：

編輯系統(tǒng) /etc/pam.d/login 文件，注意添加地點(diǎn)在#%PAM-1.0的下面,即第二行，添加內(nèi)容

tty登錄鎖定后查看：

編輯 /etc/pam.d/remote文件，注意添加地點(diǎn)在pam_env.so后面,參數(shù)和ssh一致

Linux服務(wù)器加固滿足等保三級(jí)要求

應(yīng)邀回答行業(yè)問題

Linux系統(tǒng)廣泛被應(yīng)用在服務(wù)器上，服務(wù)器存儲(chǔ)著公司的業(yè)務(wù)數(shù)據(jù)，對(duì)于互聯(lián)網(wǎng)公司數(shù)據(jù)的安全至關(guān)重要，各方面都要都要以安全為最高優(yōu)先級(jí)，不管是服務(wù)器在云端還在公司局域網(wǎng)內(nèi)，都要慎之又慎。

如果黑客入侵到公司的Linux服務(wù)器上，執(zhí)行下面的命令，好吧，這是要徹底摧毀的節(jié)奏，5分鐘后你只能呵呵的看著服務(wù)器了，為什么要seek呢？給你留個(gè)MBR分區(qū)。

dd if=/dev/zero of=/dev/sda bs=4M seek=1

Linux系統(tǒng)的安全加固可分為系統(tǒng)加固和網(wǎng)絡(luò)加固，每個(gè)企業(yè)的業(yè)務(wù)需求都不一樣，要根據(jù)實(shí)際情況來配置。比如SSH安全、賬戶弱口令安全、環(huán)境安全、關(guān)閉無用服務(wù)、開啟防火墻等，已經(jīng)Centos7為例，簡單說下linux系統(tǒng)SSH網(wǎng)絡(luò)安全加固。

SSH安全

將ssh服務(wù)的默認(rèn)端口22修改為其他端口，并限制root用戶登陸，配置firewall允許ssh端口通過。

[root@api ~]#sed -i 's#Port 22#Port 6022#' /etc/ssh/sshd_config

[root@api ~]#echo 'PermitRootLogin no' /etc/ssh/sshd_config

[root@api ~]# firewall-cmd --zone=public --add-port=6022/tcp --permanent

[root@api ~]# firewall-cmd --reload

限制訪問ssh的用戶和IP

[root@api ~]#echo 'AllowUsers NAME' /etc/ssh/sshd_config

[root@api ~]# echo 'sshd:xxx..x.x:allow' /etc/

hosts.allow

[root@api ~]# systemctl restart sshd

禁止ping測試服務(wù)器，禁止IP偽裝。

[root@api ~]# echo 1 /proc/sys/net/ipv4/icmp_echo_ignore_all

[root@api ~]# echo nospoof on /etc/host.conf

在Centos7以后iptables將被firewall替代，當(dāng)然我們還能夠使用iptables，首先需要?jiǎng)h除firewall后，才能夠使用iptables，技術(shù)總是在進(jìn)步的，老的會(huì)慢慢被替代。

Linux系統(tǒng)安全加固還有很多，想要繼續(xù)可以查閱資料。

服務(wù)器安全加固 - Linux

查看 /etc/passwd 文件查看是否有無用的賬號(hào)，如果存在則刪除，降低安全風(fēng)險(xiǎn)。

操作步驟：

操作步驟：

操作步驟

操作步驟

使用命令 vim /etc/pam.d/su 修改配置文件，在配置文件中添加行。

例如，只允許admin組用戶su到root，則添加 auth required pam_wheel.so group=admin 。

【可選】為了方便操作，可配置admin支持免密sudo：在 /etc/sudoers 文件中添加 admin ALL=(ALL) NOPASSWD:ALL

為了防止使用"su"命令將當(dāng)前用戶環(huán)境變量帶入其它用戶，修改/etc/login.defs添加ALWAYS_SET_PATH=yes并保存。

操作步驟

操作步驟：

查看所有服務(wù)列表 systemctl list-units --type=service

操作步驟

使用命令 vim /etc/ssh/sshd_config 編輯配置文件。

配置文件修改完成后，重啟sshd服務(wù)生效（systemctl restart sshd）。

操作步驟

修改/etc/profile 配置文件，添加行 umask 027 ， 即新創(chuàng)建的文件屬主擁有讀寫執(zhí)行權(quán)限，同組用戶擁有讀和執(zhí)行權(quán)限，其他用戶無權(quán)限。

操作步驟

修改 /etc/profile 配置文件，設(shè)置為 TMOUT=600， 表示超時(shí)10分鐘無操作自動(dòng)退出登錄。

操作步驟

Linux系統(tǒng)默認(rèn)啟用以下類型日志，配置文件為 /etc/rsyslog.conf：

通過上述步驟，可以在 /var/log/history 目錄下以每個(gè)用戶為名新建一個(gè)文件夾，每次用戶退出后都會(huì)產(chǎn)生以用戶名、登錄IP、時(shí)間的日志文件，包含此用戶本次的所有操作（root用戶除外）

服務(wù)器安全加固 - Linux - wubolive - 博客園

【shell】Linux等保加固腳本

Linux服務(wù)器評(píng)測腳本

Linux系統(tǒng)服務(wù)器性能跑分測試腳本

ACL權(quán)限設(shè)置命令setfacl和getfacl命令

Linux等保加固腳本