Linux加固

摘要:
默认值为YESsanon_ upload_ Enable=YES6。允许匿名用户重命名文件夹以加入:anon_other_write_Enable=yes 4。加强Linux系统1。检查GRUB是否设置了密码,并为其设置了密码#vi/etc/GRUB.conf在splash image=/GRUB/splash之后的行中添加以下内容。xpm中。gz:password=12346在titleRedHatEnterpriseLinuxServer:lock2后面的行中添加以下内容。检查root的PATH变量是否包含当前目录“”。如果是,则使其不包含。防止root用户执行恶意木马并降低安全风险。

一、linux下挂载iso光盘镜像

    1、#mkdir  /mnt/vcdrom          ————建立一个目录用来作挂接点  

    2、#mount  –o  loop  –t  iso9660 /root/XX.iso  /mnt/vcdrom ————将root目

       录下的XX.ISO挂载到/mnt/vcdrom下。

二、rpm安装vsftpd和apache

1、在/mnt/vcdrom/Sever目录下能找到vsftpd和apache的安装包。

2、rpm  -ivh  xxxx.rpm ————安装命令(注:安装apache时要建立名为apache

的组)

3、启动服务:#service vsftpd start

            #service httpd start

4、apache配置文件下需要添加以下两句:

LoadModule    php5_module   modules/libphp5.so

AddType  application/x-httpd-php   .php

三、设置vsftpd

  1、设置vsftpd服务只在运行级别3、5为on

     #chkconfig --level 35 vsftpd on

  2、允许匿名用户登录

     #vi /etc/vsftpd/vsftpd.conf

      查看此行是否为yes:anonymous_enable=YES

  3、允许匿名用户创建文件对于其他用户是可读,可运行的

 

#vi /etc/vsftpd/vsftpd.conf

   加入:anon_umask=032

         file_open_mode=0777

运算方法:用file_open_mode的值去减不需要的权限:如:0777 – 032 就是7减去2,2就是写的权限,所以other得到的权限为r-x权限

4、允许匿名用户创建目录

是否允许匿名用户创建新文件夹

anon_mkdir_write_enable=YES

5、允许匿名用户上传文件

是否允许匿名用户上传文件,须将全局的write_enable=YES。默认为YES

anon_upload_enable=YES

6、允许匿名用户重命名文件夹

  加入:anon_other_write_enable=yes

四、对linux系统进行加固

 

1、查看GRUB(系统引导管理器)是否设置了密码,为其设置密码

      #vi /etc/grub.conf

      在splashimage=(hd0,0)/grub/splash.xpm.gz后面一行加入:password=123456

      在title Red Hat Enterprise Linux Server (2.6.18-8.el5)后面一行加入:lock

2、检查root的PATH变量中是否包含当前目录“.”如果有,使之不包含。

      #vi /etc/profile   去除“:.”部分。

      防止root执行恶意木马,减少安全隐患。

3、减少系统无用账号,发现非系统内账号,禁用。

      #passwd -l 用户名   ————锁定账号

      #passwd -u 用户名   ————解锁账号

      存在的系统默认账号:lp、sync、shutdown、halt、news、uucp、operator、games、

gopher

4、加固根账户和口令

     4.1  配置策略,锁定多次尝试登录失败的用户:

           Redhat 4.0版本:

              #vi /etc/pam.d/system-auth

              在system-auth文件的auth部分增加如下一行:

              auth required /lib/security/pam_tally.so onerr=fail no_magic_root

              在system-auth文件的account部分增加如下一行:

              account required /lib/security/pam_tally.so deny=3 no_magic_root reset

              尝试密码出现错误3次后,锁定账户。

           Redhat 5.0版本:

                  将配置文件system-auth,修改后内容如下所示:

              #vi /etc/pam.d/system-auth

                  auth       required      pam_env.so

                  auth       required       pam_unix.so nullok try_first_pass   (将原来的sufficient 改为required)

                  #auth      requisite     pam_succeed_if.so uid >= 500 quiet (注释掉此行)

                  #auth      required      pam_deny.so (注释掉此行)

                   auth      required      pam_tally2.so deny=5 onerr=fail   (增加的一行)

  

                        account    required      pam_unix.so

                      account    sufficient    pam_succeed_if.so uid < 500 quiet

                   account    required      pam_permit.so

                   account    required      pam_tally2.so (增加的一行)

       4.2编辑/etc/login.defs  

                       PASS_MAX_DAYS   99999

                       PASS_MIN_DAYS   0

                       PASS_MIN_LEN    5

                       PASS_WARN_AGE   7

               参数值解释: PASS_MAX_DAYS(设置密码过期日期)

                                     PASS_MIN_DAYS(设置密码最少更改日期)

                                     PASS_MIN_LEN(设置密码最小长度)时指密码设置的最小长度,一般

                                     定义为8位以上

                                     PASS_WARN_AGE(设置过期提前警告天数)

           4.3 设置口令的复杂程度

                   #vi /etc/pam.d/system-auth

           5、查看空口令和root权限的账号

                  #awk -F: ‘($2==””)’ /etc/shadow   ————查看空口令

                  #awk -F: ‘($3==0)’ /etc/passwd      ————查看root权限

           6、限制能su到root的用户

                  #vi /etc/pam.d/su

                  添加:auth      required   pam_wheel.so  group=test

                  #usermod -G test scjkdcn    ————将scjkdcn用户加入test组

                  查看组成员

                  #cat /etc/group | grep test

           7、设置系统登录后,连接超时时间为5分钟

                  #vi /etc/profile

                  在最后加入:TMOUT=300

           8、防止误使用ctrl+alt+del重启系统

                  #vi /etc/inittab

                  找到:ca::ctrlaltdel:/sbin/shutdown -t3 -r now,将其注释掉。

           9、禁止root用户通过SSH远程登录

               #vi /etc/ssh/sshd_config

                找到#PermitRootLogin yes,将注释取消,将no改为yes,保存

                重启SSH服务:service sshd restart

                Root用户无法直接登录,需要用普通账户登录后su

           10、apache设置远端客户端超时时间为180s

                   #vi /etc/httpd/conf/httpd.conf

                    Timeout 180   找到Timeout修改时间

免责声明:文章转载自《Linux加固》仅用于学习参考。如对内容有疑问,请及时联系本站处理。

上篇各种在线编辑器漏洞SQL连接中加条件查询的LINQ表达式写法[转]下篇

宿迁高防,2C2G15M,22元/月;香港BGP,2C5G5M,25元/月 雨云优惠码:MjYwNzM=

相关文章

Debian下试用KDE4

众人期盼的KDE4终于在1月11日正式发布了,作为Linux世界最主要的桌面环境之一,KDE4的开发引入了大量的新特性并进行了大量的改进,试图带给广大的用户全新的桌面体验,从而使得KDE4的开发成为今年Linux世界最重要的一件大事,而他的正式发布对于广大的Linux爱好者,尤其是KDE爱好者来说无疑是一件令人激动的事情,而对于广大的中国Linux用户来说,...

腾讯本月将出QQ for Linux!

<script type="text/javascript"><!-- google_ad_client = "pub-5844041942806643"; /* LDCN文章右侧, 300x250, 创建于 08-2-22 */ google_ad_slot = "7403056246"; google_ad_width = 300; g...

terminal

LinuxTOY 是一个致力于提供 Linux 相关资讯的专题站点。如果您发现了好用好玩的 Linux 东东并愿意发扬自由、分享的精神,可以点击顶部导航 Contact 按钮进行投稿。 捐助本站 Subscribe in a reader(original feed) Subscribe by Email Follow us on Twitter Fo...

快速启动jar包脚本【Linux】

快速启动jar包脚本【Linux】 备注:从Windows拷贝到Linux会出现编译器错误 参考作者这篇博客:https://www.cnblogs.com/zhanqing/p/15305362.html #!/bin/bash version="1.0.1"; appName=$2 if [ -z $appName ];thenappName=`ls...

解决Linux 安装python3 .5 解决pip 安装无法成功问题ssl安全拦截无法pip安装库问题

pip is configured with locations that require TLS/SSL, however the ssl module in Python is not available.Could not fetch URL https://pypi.org/simple/pip/: There was a problem confi...

今天知道了一个 反向代理,是apache 的一个功能,这里记录一下

什么事情都需要自己 去弄,记住了这句话,不要以为 别人会来帮你 在 apache 的http.conf 文件中(去掉注释) LoadModule proxy_module modules/mod_proxy.so (这句是编译激活时产生的) LoadModule proxy_http_module modules/mod_proxy.so (这句是要手动添加...