• 微信公众号:美女很有趣。 工作之余,放松一下,关注即送10G+美女照片!

Linux服务器通用安全加固指南

开发技术 开发技术 3小时前 2次浏览

实验目的:

1、基本系统安全

2、用户安全

3、网络安全

 

实验步骤一:基本系统安全

 

1、保护引导过程(以Grub引导为例)

 

在 /etc/inittab 中添加 sp:S:respawn:/sbin/sulogin,以确保当切换到单用户模式时 运行级的配置要求输入 root 密码:

Linux服务器通用安全加固指南

 

Linux服务器通用安全加固指南

 

2)防止用户使用 Ctrl-Alt-Del 进行重新引导:在RHEL6.X和CentOS 6.X下, 该热键的行为由’/etc/init/control-alt-delete.conf’控制。 

 输入指令 vim /etc/init/control-alt-delete.conf 

 注释掉原来的改成:exec /usr/bin/logger -p authpriv.notice -t init “Ctrl-Alt-Del was pressed and ignored”,这个配置会在每次按下Ctrl-Alt-Del 时输出日志。

Linux服务器通用安全加固指南

3)关闭不使用的服务

      首先查看哪些服务是开启的:

      Linux服务器通用安全加固指南

      关闭邮件服务,使用公司邮件服务器:

      Linux服务器通用安全加固指南

      关闭nfs服务及客户端:

      Linux服务器通用安全加固指南

根据服务器的实际情况来关闭不必要的服务。

4)增强特殊文件权限:

Linux服务器通用安全加固指南

 

 

如果再要添加删除用户,需要先取消上面的设置,等用户添加删除完成之后,再执行上面的操作,例如取消只读权限chattr -i /etc/passwd。(记得重新设置只读)

 

5)强制实行配额和限制:Linux PAM(插入式认证模块,Pluggable Authentication Modules)可以强制实行一些实用的限制,在 /etc/security/limits.conf 文件中对此进行配置。

 

 

core – 限制内核文件的大小(KB)

 

      data – 最大数据大小(KB)

 

      fsize – 最大文件大小(KB)

 

      memlock – 最大锁定内存地址空间(KB)

 

      nofile – 打开文件的最大数目

 

      rss – 最大持久设置大小(KB)

 

      stack – 最大栈大小(KB)

 

      cpu – 以分钟为单位的最多 CPU 时间

 

      nproc – 进程的最大数目

 

      as – 地址空间限制

 

      maxlogins – 此用户允许登录的最大数目

Linux服务器通用安全加固指南

 

 要为文件系统启用配额,您必须在 /etc/fstab 中为相应的那行添加一个选项。 使用 usrquota 和 grpquota 来启用 用户配额和组配额,像下面这样:

 

 Linux服务器通用安全加固指南

 

然后使用 edquota -u username 为具体的用户配额。

 

实验步骤二:

1)注释掉用户vi /etc/passwd

Linux服务器通用安全加固指南

 

注释掉组 vi /etc/group

 

Linux服务器通用安全加固指南

 2)ssh登陆安全  找到SSh服务配置文件路径一般都是在 /etc/ssh这个目录下面 sshd_config 这个文件,在“# Port 22”这一行下面添加一行,内容为 port 端口号。

Linux服务器通用安全加固指南

 

3)只允许wheel用户组的用户su切换(这里只是举例,不一定要用这个用户组名字)

      Linux服务器通用安全加固指南

 

4)用户在线5分钟无操作则超时断开连接,在/etc/profile中添加:

Linux服务器通用安全加固指南

 

5)限制登录次数 vi /etc/pam.d/login

 

Linux服务器通用安全加固指南

 

6)减少history命令记录    vi /etc/profile

 

Linux服务器通用安全加固指南

执行 source /etc/profile生效

或每次退出时清理history命令:history –c。

 

实验步骤三:网络安全

1)禁用ipv6

让系统不加载ipv6相关模块,这需要修改modprobe相关设定文件,为了管理方便,我们新建设定文件/etc/modprobe.d/ipv6off.conf,内容如下:

Linux服务器通用安全加固指南

 

禁用基于IPv6网络,使之不会被触发启动:

 Linux服务器通用安全加固指南

 

 禁用网卡IPv6设置,使之仅在IPv4模式下运行

 Linux服务器通用安全加固指南

2)防止一般网络攻击 禁ping 在/etc/rc.d/rc.local文件中增加如下一行:

Linux服务器通用安全加固指南

 

3)防止IP欺骗

编辑/etc/host.conf文件并增加如下几行来防止IP欺骗攻击:

Linux服务器通用安全加固指南

 

4)防止DoS攻击  可以在/etc/security/limits.conf中添加如下几行:

 Linux服务器通用安全加固指南

 

5)定期做日志检查

 

分析与思考:

1、查询资料了解更多关于linux系统加固的知识。

2、查询资料了解iptables有哪些用途?

 

1:系统加固基本措施

系统账号清理(无用的、长时间不用的、程序用户)
Userdel/ passwd -l/ usermod -s /sbin/nologin
Userdel –r +用户 删除用户
Userdel +用户名 删除无用的账户,有时候有人离职,可以把用户删除,但是用户里的文件保留下来了,再确认文件没用后再userdel +r 进行删除

2:iptables 是一个用于 IP 访问控制的工具,可以通过 iptables 实现一些防火墙和 NAT 的功能,

 

习题答案:CDD

 

 

 

 

 

 

 

 

 

 

 

 

 

 


程序员灯塔
转载请注明原文链接:Linux服务器通用安全加固指南
喜欢 (0)