2. 程式人生 > 實用技巧 >Linux主機加固

Linux主機加固

阿新 發佈:2020-10-09

​前 言

Linux系統被應用於大部分企業的伺服器上,因此在等保測評中主機加固也是必須要完成的一項環節。

由於在之後專案開始要進行主機加固,因此對linux的加固流程進行總結學習。

Linux的主機加固主要分為:賬號安全、認證授權、協議安全、審計安全。簡而言之,就是4A(統一安全管理平臺解決方案)。

這邊就使用我自己kali的虛擬機器進行試驗學習。

一、賬戶安全

1、口令生存期

gedit /etc/login.defs

在此處對密碼的長度、時間、過期警告進行修改

PASS_MAX_DAYS 90 #密碼最長過期天數

PASS_MIN_DAYS 10 #密碼最小過期天數

PASS_WARN_AGE 7 #密碼過期警告天數

如果修改設定有最小長度也需要修改

PASS_MIN_LEN 8 #密碼最小長度

2、口令複雜度(很重要)

password requisite pam_cracklib.so

在檔案中找到

password requisite pam_cracklib.so

將其修改為:

password requisite pam_cracklib.so try_first_pass retry=3 dcredit=-1 lcredit=-1 ucredit=-1 ocredit=-1 minlen=8

備註:至少包含一個數字、一個小寫字母、一個大寫字母、一個特殊字元、且密碼長度>=8

3、版本資訊

cat /proc/version

4、限制xx使用者登入

/etc/hosts.deny

新增內容:

sshd : 192.168.1.1

禁止192.168.1.1對伺服器進行ssh的登陸

5、檢查是否有其他uid=0的使用者

awk -F “:” '($3==0) {print $1} ' /etc/passwd

6、登陸超時限制

cp -p /etc/profile /etc/profile_bak(備份)

gedit /etc/profile

增加

TMOUT=300

export TMOUT

或者

echo 'export TMOUT=300'>>/etc/profile

echo 'readonly TMOUT' >>/etc/profile

source /etc/profile

7、檢查是否使用PAM認證模組禁止wheel組之外的使用者su為root

gedit /etc/pam.d/su

新增

auth  sufficient pam_rootok.so

auth  required pam_wheel.so use_uid

備註:auth與sufficient之間由兩個tab建隔開,sufficient與動態庫路徑之間使用一個tab建隔開

8、禁用無用賬戶

cat /etc/passwd #檢視口令檔案,確認不必要的賬號。

passwd -l user #鎖定不必要的賬號

9、賬戶鎖定

gedit /etc/pam.d/system-auth

在檔案中修改或者新增

auth required pam_tally.so onerr=fail deny=3 unlock_time=7200

鎖定賬戶舉例:

passwd -l bin

passwd -l sys

passwd -l adm

10、檢查系統弱口令

john /etc/shadow --single

john /etc/shadow --wordlist=pass.dic

我這邊有報錯 就不展示了

使用passwd 使用者 命令為使用者設定複雜的密碼

二、協議安全

1、openssh升級(按需做)

yum update openssh

2、定時任務(防止病毒感染)

定時任務檢查:

crontab -l

一次性任務檢查:

at -l

3、限制ssh登入(看是否需要)

首先cat /etc/ssh/sshd_config

檢視PermitRootLogin是否為no

gedit /etc/ssh/sshd_config

PermitRootLogin no不允許root登陸

Protocol 2 修改ssh使用的協議版本

MaxAuthTries 3 修改允許密碼錯誤次數

或echo "tty1" > /etc/securetty

hmod 700 /root

4、限制su為root使用者

gedit /etc/pam.d/su

在頭部新增auth required /lib/security/pam_wheel.so group=wheel

5、禁止root使用者登入ftp

因為我的kali下沒有這個檔案,因此借鑑一下網上的

cat /etc/pam.d/vsftpd

Auth required pam_listfile.so item=user sense=deny file=/etc/vsftpd/ftpusers onerr=succeed

#其中file=/etc/vsftpd/ftpusers即為當前系統上的ftpusers檔案.

echo “root” >> /etc/vsftpd/ftpusersv

6、防止flood攻擊

gedit /etc/sysctl.conf

增加net.ipv4.tcp_syncookies = 1

然後sysctl -p

7、禁ping

echo 0 > /proc/sys/net/ipv4/icmp_echo_igore_all

8、檢查異常程序

ps aux|sort -rn -k +3|head

#檢查cpu佔用前10

ps aux|sort -rn -k +4|head

#檢查記憶體佔用前10

9、關閉無效的服務及埠

比如郵箱

service postfix status

chkconfig --del postfix

chkconfig postfix off

比如cpus

service cups status

chkconfig --del cups

chkconfig cups off

10、設定防火牆策略

或者用防火牆策略:

service iptables status

echo '請根據使用者實際業務端口占用等情況進行設定!'

例如:

gedit /etc/sysconfig/iptables新增如下策略

-A INPUT -m state --state NEW -m tcp -p tcp --dport 8080 -j ACCEPT

-A INPUT -m state --state NEW -m udp -p udp --dport 8080 -j ACCEPT

以下舉例:

iptables -I INPUT -s 22.48.11.11 -j DROP

# 22.48.11.11的包全部遮蔽

iptables -I INPUT -s 22.48.11.0/24 -j DROP

#22.48.11.1到22.48.11.255的訪問全部遮蔽

iptables -I INPUT -s 192.168.1.1 -p tcp --dport 80 -j DROP

# 192.168.1.1的80埠的訪問全部遮蔽

iptables -I INPUT -s 192.168.1.0/24 -p tcp --dport 80 -j DROP

#192.168.1.1到192.168.1.255的80埠的訪問全部遮蔽

service iptabels restart

#重啟防火牆

11、設定歷史記錄數量

cp /etc/profile /etc/profile_xu_bak(備份)

sed -i s/'HISTSIZE=1000'/'HISTSIZE=5000'/g /etc/profile(修改)

cat /etc/profile |grep HISTSIZE|grep -v export(檢查)

三、認證許可權

1、配置使用者最小許可權

chmod 644 /etc/passwd

chmod 400 /etc/shadow

chmod 644 /etc/group

2、檔案與目錄預設許可權控制

cp /etc/profile /etc/profile.bak(備份)

gedit /etc/profile

增加

umask 027

source /etc/profile

四、日誌審計

1、啟用遠端日誌功能

gedit /etc/rsyslog.conf

*.* @Syslog日誌伺服器IP

###注意:*和@之間存在的是tab鍵,非空格。

2、檢查是否記錄安全事件日誌

gedit /etc/syslog.conf或者/etc/rsyslog.conf

在檔案中加入如下內容:

*.err;kern.debug;daemon.notice /var/log/messages

chmod 640 /var/log/messages

service rsyslog restart

3、日誌保留半年以上

cp/etc/logrotate.conf /etc/logrotate.conf_xu_bak(備份)

sed -i s/'rotate 4'/'rotate 12'/g /etc/logrotate.conf(修改)

service syslog restart(重啟)

cat /etc/logrotate.conf |grep -v '#' |grep rotate(檢查)

轉 FreeBuf.COM

相關推薦

Linux主機加固

​前 言 Linux系統被應用於大部分企業的伺服器上,因此在等保測評中主機加固也是必須要完成的一項環節。

linux主機安全加固-個人經驗

說明:我並沒有一個系統的網路安全知識體系,隨筆裡面提到的內容是個人在從事運維行業這幾年中總結出來的一點經驗,僅供大家參考。

CobaltStrike上線Linux主機(CrossC2)

一、簡述 CrossC2外掛是為企業和紅團隊人員提供的安全框架,支援 CobaltStrike 對其他平臺的滲透測試(Linux / MacOS /...),支援自定義模組,幷包括一些常用的滲透模組。

如何在一臺Linux主機上安裝無數個mysql,這裡就要用到容器技術->Docker

前提準備 1臺Centos7.x系統的主機 安裝docker過程 1、安裝yum相關工具包 安裝yum相關工具包yum install -y yum-utils device-mapper-persistent-data lvm2

linux 主機配置定時清理

linux 主機配置定時清理 因為經常有一些指令碼會執行超時,而指令碼本身又沒有配置超時的配置,所以就需要有個指令碼來定時對超時的程式進行清理。

nagios 監控linux 主機

1.解決時間同步問題 當然前提是你的伺服器已經安裝了ntp的程式,如果沒有安裝可以: yum -y install ntp /usr/sbin/ntpdate pool.ntp.orguptime

cs實現上線linux主機與CrossC2的配置

CATALOG 前言配置CS與CrossC2簡單的使用 前言 CS主要用來做windows滲透,現通過CrossC2外掛即可實現上線linux主機。 CrossC2下載 CrossC2官方手冊

利用expect互動完成多臺linux主機ssh key推送

expect主要是用於自動化互動動作的。 安裝expect:yum -y install expect 步驟: 1.生成金鑰對

python 使用paramiko模組進行封裝,遠端操作linux主機的示例程式碼

import time import paramiko class HandleParamiko: \'\'\' 定義一個linux處理類 \'\'\' def __init__(self,hostname,password,port=22,username=\'root\'):

Linux主機操作相關

程序使用系統資源情況 ps -e -o \'pid,comm,args,pcpu,rsz,vsz,stime,user,uid\' |grep python3 程序監控

修改Linux主機名和IP

技術標籤:Linux技術linux 問題描述 又到了例行的系統安全測試時間,公司部署的一套系統需要做安全測試了,首先要做主機滲透,顯然不可能在正式環境直接測,於是就把幾臺伺服器做了個映象,作為測試環境。

配置Linux主機

為了方便區分區域網中的多個Linux主機,可以為每臺機器設定主機名,本文介紹hostname配置方法。

使用SCP或Rsync實現Linux主機之間檔案、目錄的複製

我們知道Linux本機的檔案拷貝可以使用cp命令,它不能在Linux主機之間拷貝資料。本文介紹SCP和Rsync這兩種實現Linux主機間的資料拷貝工具。

linux主機通過ssh登入windows伺服器啟動tomcat所踩的坑

情景描述 公司的Jenkins服務安裝在linux系統上,但是很多應用伺服器都是windows系統,那麼在jenkisn上編譯生成的war包如何傳輸到windows伺服器上並且進行tomcat服務的重啟呢?相對於linux的應用伺服器,使用jenkins

arm linux開發板通過USB橋接linux主機網路

一、配置開發板USB Gadget模式為rndis 1.核心配置: Device Drivers---> [*] USB support--->

Windows利用SSH - X遠端登入Linux主機(X11-forwarding)

Windows利用SSH - X遠端登入Linux主機(X11-forwarding)_ 木馬屠城-CSDN部落格 https://blog.csdn.net/defeattroy/article/details/7466018

SSH工具連線Linux主機的問題排查

SSH遠端連線故障排查思路 第1步:物理鏈路是否有問題 ping 10.0.0.200 排查客戶端到伺服器端線路是否通暢

linux主機互信操作

一.主機互信原理兩個主機之間ssh登入需要提示輸入對方的密碼,當頻繁需要登入操作時,可以通過linux公鑰和祕鑰,建立雙機信任關係。把你源主機的公鑰檔案內容追加到目的主機對應使用者下的authorized_keys檔案中(如果

Linux主機入侵檢測

檢查系統資訊、使用者賬號資訊 ● 作業系統資訊 cat /proc/version 使用者資訊 使用者資訊檔案

[Linux]主機配置互信

1、在Linux客戶端下,建立使用者: useradd {UserName} -u {RandomID} 2、修改主機使用者許可權: