回答
2
瀏覽
340
一關閉telnet服務
1,修改telnet配置文件
vi/etc/xinetd.d/telnet
2,確認/修改內容為
disable=yes
二.SSH使用白名單允許跳板機訪問源
1,修改拒絕策略
vi/etc/hosts.deny
2,加入信息
ALL:ALL
3,修改允許策略
vi/etc/hosts.allow
4,加入信息
sshd:來訪者IP地址
回答所涉及的環境:聯想天逸510S、Windows 10。
暫無個人描述~
- 提了386個問題,389個回答
- 回答了0個問題
1.設置高風險文件為最小權限,例如passwd,shadown,group,securetty,services,grub.conf
2.使用sudo命令設置命令執行權,和禁止敏感操作權限,例如運維賬戶
zhangsanALL=
NOPASSWD:ALL,!/bin/bash,!/bin/tcsh,!/bin/csh,!/bin/su,!/bin/passwd,!/bin/gpasswd,!/bin/v
i/etc/sudoers,!/bin/vi/etc/sudoers.d/,!/usr/bin/vim/etc/sudoers,!/usr/bin/vim
/etc/sudoers.d/,!/usr/sbin/visudo,!/usr/bin/sudo-i,!/bin/vi/etc/ssh/,!/bin/vim
/etc/ssh/,!/bin/chmod,!/bin/rm,!/bin/mv
3.檢查其他權限過高的文件
find/-typef(-perm-00007)-a-ctime-1|xargs-I{}ls-lh{}
ctime:屬性變更
mtime:內容修改
atime:被訪問
4.修改不必要的賬號登錄環境,或者刪除,檢查/etc/passwd登錄環境不為/sbin/nologin的
5.找到uid為0的賬戶,刪除,awk-F:’($3==0){print$1}’/etc/passwd
6.查找是否存在高權限組的賬戶,檢查/etc/group文件
7.設置密碼策略,最長使用90天,密碼最短8位,提前7天提醒
修改文件login.defs
PASS_MAX_DAYS90最長使用期限
PASS_MIN_DAYS0最短使用期限
PASS_MIN_LEN8密碼最小長度
PASS_WARN_AGE7最長期限到期前7天提醒更改密碼
8.修改密碼策略,最少包含一個小寫字母,一個大寫字母,一個數字,一個字符,4種符號
中必須滿足3種,最小長度8位。,修改文件/etc/pam.d/system-auth
passwordrequisitepam_cracklib.sotry_first_passretry=3dcredit=-1lcredit=-1
ucredit=-1ocredit=-1minclass=3minlen=8
高版本系統可以使用
authconfig–passminlen=8–update密碼最短8位
authconfig–enablereqlower–update包含一個小寫
authconfig–enablerequpper–update包含一個大寫
authconfig–enablereqdigit–update包含一個數字
authconfig–enablereqother–update包含一個字符
在文件/etc/security/pwquality.conf
9.設置強制密碼歷史/etc/pam.d/system-auth
passwordsufficientpam_unix.sosha512shadownulloktry_first_passuse_authtok
remember=5
10.設置賬戶鎖定策略防止暴力破解
authrequiredpam_tally2.sodeny=6unlock_time=300even_deny_root
root_unlock_time=60
強制解鎖賬戶的命令pam_tally2–userzhangsan–reset
11.設置反碼,防止新建對象有不必要的權限
在文件/etc/profile,/etc/csh.login,/etc/csh.cshrc,/etc/bashrc
加入umask027
12.修改限制文件,減緩被DDOS攻擊帶來的危害。
softcore0
*hardcore0
*hardrss5000
*hardnproc20
這些行的的意思是:“core0”表示禁止創建core文件;“nproc20”把最多進程數限制到20;
“rss5000”表示除了root之外,其他用戶都最多只能用5M內存。上面這些都只對登錄到系
統中的用戶有效。通過上面這些限制,就能更好地控制系統中的用戶對進程、core文件和
內存的使用情況。星號“”表示的是所有登錄到系統中的用戶。
限制用戶jerry將最多允許使用40個進程,每個進程最多打開50個文件,在shell中可創
建的最大文件限制為100MB。最多允許兩個admin用戶同時登陸系統,同事登陸的wheel
組用戶不能操作五個。
配置如下:
jerryhardfsize102400
jerryhardnofile50
jerryhardnproc40
adminhardmaxlogins2
@wheelhardmaxlogins5
13.設置更詳細的別名,做到日常維護時,更容易發現安全隱患
14.關閉使用su命令切換root賬戶
authsufficient/lib/security/pam_rootok.so
加入wheel組的用戶可以使用su切換root賬戶
authrequired/lib/security/pam_wheel.sogroup=wheel
15.查詢擁有sid的文件,去掉sid位
find/-typef(-perm-04000-o-perm-02000)|xargs-I{}ls-lh{}
chmodugo-s文件
16.為開放目錄設置粘滯位。chmodo+txxx
17.設置日志服務器
日志發送方:修改應用服務器日志配置文件
vi/etc/rsyslog.conf
確認關鍵日志審計是否存在
.info;mail.none;authpriv.none;cron.none/var/log/messages
authpriv./var/log/secure
并添加兩行轉發日志信息
.info;mail.none;authpriv.none;cron.none@IP地址
authpriv.
重啟服務
systemctlrestartrsyslog
日志接收方,修改/etc/rsyslog.conf
開啟接收日志功能
$ModLoadimudp
$UDPServerRun514
$templateRemote,“/var/log/%$YEAR%-%$MONTH%-%$DAY%/%fromhost-ip%.log”
遠程日志路徑
:fromhost-ip,!isequal,“127.0.0.1”?Remote本地日志不存儲遠程文件
重啟服務
systemctlrestartrsyslog
18.設置日志權限
設置日志目錄為640權限,設置公共消息日志底層屬性為a,/var/log/messages.*,
/etc/shadow,/etc/passwd,/etc/group底層屬性為i
回答所涉及的環境:聯想天逸510S、Windows 10。