Linux加固

摘要:
默认值为YESsanon_ upload_ Enable=YES6。允许匿名用户重命名文件夹以加入:anon_other_write_Enable=yes 4。加强Linux系统1。检查GRUB是否设置了密码,并为其设置了密码#vi/etc/GRUB.conf在splash image=/GRUB/splash之后的行中添加以下内容。xpm中。gz:password=12346在titleRedHatEnterpriseLinuxServer:lock2后面的行中添加以下内容。检查root的PATH变量是否包含当前目录“”。如果是,则使其不包含。防止root用户执行恶意木马并降低安全风险。

一、linux下挂载iso光盘镜像

    1、#mkdir  /mnt/vcdrom          ————建立一个目录用来作挂接点  

    2、#mount  –o  loop  –t  iso9660 /root/XX.iso  /mnt/vcdrom ————将root目

       录下的XX.ISO挂载到/mnt/vcdrom下。

二、rpm安装vsftpd和apache

1、在/mnt/vcdrom/Sever目录下能找到vsftpd和apache的安装包。

2、rpm  -ivh  xxxx.rpm ————安装命令(注:安装apache时要建立名为apache

的组)

3、启动服务:#service vsftpd start

            #service httpd start

4、apache配置文件下需要添加以下两句:

LoadModule    php5_module   modules/libphp5.so

AddType  application/x-httpd-php   .php

三、设置vsftpd

  1、设置vsftpd服务只在运行级别3、5为on

     #chkconfig --level 35 vsftpd on

  2、允许匿名用户登录

     #vi /etc/vsftpd/vsftpd.conf

      查看此行是否为yes:anonymous_enable=YES

  3、允许匿名用户创建文件对于其他用户是可读,可运行的

 

#vi /etc/vsftpd/vsftpd.conf

   加入:anon_umask=032

         file_open_mode=0777

运算方法:用file_open_mode的值去减不需要的权限:如:0777 – 032 就是7减去2,2就是写的权限,所以other得到的权限为r-x权限

4、允许匿名用户创建目录

是否允许匿名用户创建新文件夹

anon_mkdir_write_enable=YES

5、允许匿名用户上传文件

是否允许匿名用户上传文件,须将全局的write_enable=YES。默认为YES

anon_upload_enable=YES

6、允许匿名用户重命名文件夹

  加入:anon_other_write_enable=yes

四、对linux系统进行加固

 

1、查看GRUB(系统引导管理器)是否设置了密码,为其设置密码

      #vi /etc/grub.conf

      在splashimage=(hd0,0)/grub/splash.xpm.gz后面一行加入:password=123456

      在title Red Hat Enterprise Linux Server (2.6.18-8.el5)后面一行加入:lock

2、检查root的PATH变量中是否包含当前目录“.”如果有,使之不包含。

      #vi /etc/profile   去除“:.”部分。

      防止root执行恶意木马,减少安全隐患。

3、减少系统无用账号,发现非系统内账号,禁用。

      #passwd -l 用户名   ————锁定账号

      #passwd -u 用户名   ————解锁账号

      存在的系统默认账号:lp、sync、shutdown、halt、news、uucp、operator、games、

gopher

4、加固根账户和口令

     4.1  配置策略,锁定多次尝试登录失败的用户:

           Redhat 4.0版本:

              #vi /etc/pam.d/system-auth

              在system-auth文件的auth部分增加如下一行:

              auth required /lib/security/pam_tally.so onerr=fail no_magic_root

              在system-auth文件的account部分增加如下一行:

              account required /lib/security/pam_tally.so deny=3 no_magic_root reset

              尝试密码出现错误3次后,锁定账户。

           Redhat 5.0版本:

                  将配置文件system-auth,修改后内容如下所示:

              #vi /etc/pam.d/system-auth

                  auth       required      pam_env.so

                  auth       required       pam_unix.so nullok try_first_pass   (将原来的sufficient 改为required)

                  #auth      requisite     pam_succeed_if.so uid >= 500 quiet (注释掉此行)

                  #auth      required      pam_deny.so (注释掉此行)

                   auth      required      pam_tally2.so deny=5 onerr=fail   (增加的一行)

  

                        account    required      pam_unix.so

                      account    sufficient    pam_succeed_if.so uid < 500 quiet

                   account    required      pam_permit.so

                   account    required      pam_tally2.so (增加的一行)

       4.2编辑/etc/login.defs  

                       PASS_MAX_DAYS   99999

                       PASS_MIN_DAYS   0

                       PASS_MIN_LEN    5

                       PASS_WARN_AGE   7

               参数值解释: PASS_MAX_DAYS(设置密码过期日期)

                                     PASS_MIN_DAYS(设置密码最少更改日期)

                                     PASS_MIN_LEN(设置密码最小长度)时指密码设置的最小长度,一般

                                     定义为8位以上

                                     PASS_WARN_AGE(设置过期提前警告天数)

           4.3 设置口令的复杂程度

                   #vi /etc/pam.d/system-auth

           5、查看空口令和root权限的账号

                  #awk -F: ‘($2==””)’ /etc/shadow   ————查看空口令

                  #awk -F: ‘($3==0)’ /etc/passwd      ————查看root权限

           6、限制能su到root的用户

                  #vi /etc/pam.d/su

                  添加:auth      required   pam_wheel.so  group=test

                  #usermod -G test scjkdcn    ————将scjkdcn用户加入test组

                  查看组成员

                  #cat /etc/group | grep test

           7、设置系统登录后,连接超时时间为5分钟

                  #vi /etc/profile

                  在最后加入:TMOUT=300

           8、防止误使用ctrl+alt+del重启系统

                  #vi /etc/inittab

                  找到:ca::ctrlaltdel:/sbin/shutdown -t3 -r now,将其注释掉。

           9、禁止root用户通过SSH远程登录

               #vi /etc/ssh/sshd_config

                找到#PermitRootLogin yes,将注释取消,将no改为yes,保存

                重启SSH服务:service sshd restart

                Root用户无法直接登录,需要用普通账户登录后su

           10、apache设置远端客户端超时时间为180s

                   #vi /etc/httpd/conf/httpd.conf

                    Timeout 180   找到Timeout修改时间

免责声明:文章转载自《Linux加固》仅用于学习参考。如对内容有疑问,请及时联系本站处理。

上篇机器学习入门-决策树算法android平台中编写jni模块的方法(3)下篇

宿迁高防,2C2G15M,22元/月;香港BGP,2C5G5M,25元/月 雨云优惠码:MjYwNzM=

相关文章

centOS目录结构详细版

摘要:linux目录结构/:根目录,一般根目录下只存放目录,不要存放文件,/etc、/bin、/dev、/lib、/sbin应该和根目录放置在一个分区中/bin:/usr/bin:可执行二进制文件的目录,如常用的命令ls、tar、mv、cat等。/boot:放置linux系统启动时用到的一些文件。/boot/vmlinuz为linux的内核文件,以及/b...

阿里云Linux CentOS8.1 64位服务器安装LNMP(Linux+Nginx+MySQL+PHP) 并发调试之Nginx配置

搭建好LNMP环境之后,接着要考虑的就是整个系统的并发能力了。 一、Nginx的配置 Nginx有很好的并发能力。但是要想使它的并发能力能够施展出来,需要在初步安装好的Nginx上做一些配置。主要需要修改的一些配置有: 1.nginx进程数,建议按照cpu数目来指定,一般跟cpu核数相同或为它的倍数。 worker_processes 8; 2.为每个...

Linux下对LVM逻辑卷分区大小调整 [针对xfs和ext4文件系统]

当我们在安装系统的时候,由于没有合理分配分区空间,在后续维护过程中,发现有些分区空间不够使用,而有的分区空间却有很多剩余空间。如果这些分区在装系统的时候使用了lvm(前提是这些分区要是lvm逻辑卷分区),那么就可以轻松进行扩容或缩容!不同文件系统类型所对应的创建、检查、调整命令不同,下面就针对xfs和ext2/3/4文件系统的lvm分区空间的扩容和缩容的...

Linux内存描述之内存页面page--Linux内存管理(四)

1 Linux如何描述物理内存 Linux把物理内存划分为三个层次来管理 层次 描述 存储节点(Node) CPU被划分为多个节点(node), 内存则被分簇, 每个CPU对应一个本地物理内存, 即一个CPU-node对应一个内存簇bank,即每个内存簇被认为是一个节点 管理区(Zone) 每个物理内存节点node被划分为多个内存管理区域,...

Linux下NFS配置及远程挂载

NFS配置及远程挂载 NFS简介  NFS是Network File System的简写,即网络文件系统。NFS最早是由 Sun Microsystems 公司开发,并于1984年推出。NFS 是一种可分散式的网络文件系统,可以通过网络(一个局域网)使不同的机器、不同的操作系统,能够共享目录和文件,使客户端能通过网络访问并分享文件到位于服务端的磁盘中。NF...

Linux 文件截断的几种方式

文件截断, 指的是将文件内容分成两半, 只保留需要的文件长度的那部分. 通常, 将文件长度截断为0.文件截断方式:1. 使用系统调用open/fopen O_TRUNC截断open截断文件, 会清空文件已有内容, 即保留长度为0. 指定O_TRUNC标识时, 文件必须可写方式(如O_RDWR, O_WRONLY)打开. 例子, int fd = open(...