Linux系統安全設置
1.下載安裝安全軟件
2.取消Telnet登錄采用SSH方式并更改ssh服務端遠程登錄的配置
1)Telnet登錄協議是明文不加密不安全,所以采用更安全的SSH協議。
2)更改ssh服務端遠程登錄相關配置。
修改默認文件路徑 vim /etc/ssh/sshd_config 修改的參數 port #端口 PermitEmptyPasswords #是否允許密碼為空的用戶遠程登錄 PermitRootLogin #是否允許root登錄 UseDNS #指定sshd是否應該對遠程主機名進行反向解析,以檢查主機名是否與其IP地址真實對應。默認yes.建議改成no ,否則可能會導致SSH連接很慢。 GSSAPIAuthentication no #解決linux之間使用SSH遠程連接慢的問題 ListenAddress #監聽指定的IP地址 批量操作: sed -ir '13 iPort 55666PermitRootLogin noPermitEmptyPasswords noUseDNS noGSSAPIAuthentication no' /etc/ssh/sshd_config
4.用戶管理相關
1)刪除不必要的用戶和用戶組。
2)用戶密碼管理
在文件/etc/login.defs中設置密碼相關參數
參數說明
PASS_MIN_LEN:限制用戶設置密碼長度
PASS_MAX_DAYS :密碼最長過期天數
PASS_MIN_DAYS :密碼最小過期天數
PASS_MIN_LEN :密碼最小長度
PASS_WARN_AGE :密碼過期警告天數
3.搭建堡壘機(審計型)
堡壘機基本功能包括:
1)身份認證、資源授權、審計 ,賬號管理。
2)集成了Ansible,批量命令等
3)自動收集硬件信息
4)命令操作錄像回放
5)實時監控系統狀態、安全事件、網絡操作活動。
6)精細審計
4.檢查系統日志
你的系統日志告訴你在系統上發生了什么活動,包括攻擊者是否成功進入或試著訪問系統。時刻保持警惕,這是你第一條防線,而經常性地監控系統日志就是為了守好這道防線。
5.使用Iptables
6.禁止Ctrl+Alt+Delete組合鍵重啟系統
7.限制命令記錄歷史命令history長度
[root@172.16.0.55:~]$ history | wc -l 10000 [root@172.16.0.55:~]$ cat /etc/profile # /etc/profile ....... HOSTNAME=`/bin/hostname 2>/dev/null` HISTSIZE=100 #將這個值改成100 就只能記錄100條命令記錄
8.關閉selinux
SELinux是一種內核強制訪問控制安全系統,不了解其原理的不建議開啟。
查看linux系統selinux是否啟用,如果開啟就去配置文件關閉
[root@172.16.5.55:~]$ getenforce Disabled [root@172.16.0.55:~]$ cat /etc/sysconfig/selinux # This file controls the state of SELinux on the system. # SELINUX= can take one of these three values: # enforcing - SELinux security policy is enforced. # permissive - SELinux prints warnings instead of enforcing. # disabled - SELinux is fully disabled. SELINUX=disabled # SELINUXTYPE= type of policy in use. Possible values are: # targeted - Only targeted network daemons are protected. # strict - Full SELinux protection. SELINUXTYPE=targeted
9.打內核補丁
沒有任何系統沒有bug及絕對安全,linux也是,多打內核補丁,增強內核的安全性。
10.關閉系統不需要的服務
有些系統裝了很多不需要的服務,這些不必要的服務有時候也會啟動運行,一方面運行占用系統資源,另一方面容易造成安全隱患,可以選擇關閉。
11.禁用危險命令
1)rm -rf 命令
2)dd if=/dev/random of=/dev/sda
dd命令會擦掉/dev/sda下面的內容,然后寫入隨機的垃圾數據,產生數據污染。
