登录后台

页面导航

用户账号与环境

删除用户和组

首先查看etc/passwd下的用户列表

删除不必要的用户:operator、lp、shutdown、halt、games、gopher、news、sync

userdel 用户名

删除的用户组有: lp、uucp、games、dip

groupdel 组名

禁止弱口令,高权限

禁止空口令用户,根据返回值删除用户或添加密码

awk -F: '($2 == ""){print $1}' /etc/passwd

禁止除root外UID为0的用户,根据返回值删除用户

awk -F: '($3 == 0) { print $1 }' /etc/passwd

限制用户登录

修改/etc/passwd文件,daemon、bin、sys、adm、lp、uucp、nuucp、smmsp

shell修改为 /sbin/nologin

root、远程相关

root相关

禁止root远程登陆-方案1,编辑sshd_config文件,重启sshd服务

编辑文件vi /etc/ssh/sshd_config,找到并修改 PermitRootLogin no(记得去掉注释)

重启服务service sshd restart

禁止root远程登陆-方案2,限制ssh登录范围(针对所有用户)

编辑文件vi /etc/hosts.allow,添加 sshd:可以登录的IP:allow

编辑文件vi /etc/hosts.deny,添加 sshd:ALL 拒绝除以上文件内IP的所有IP登录

远程相关

查看远程用户连接情况

who

断开远程用户连接

pkill –kill –t pts/对应用户的pts号

安全策略

修改/etc/login.defs

密码长度限制

vi /etc/login.defs,修改为 PASS_MIN_LEN 密码最低长度

密码生存周期

vi /etc/login.defs,修改为 PASS_MAX_DAYS 生存天数

口令过期提醒

vi /etc/login.defs,修改为 PASS_WARN_AGE 到期多少天提醒

文件权限

/etc目录下passwd、shadow、group文件设置相应权限

chmod 644 /etc/passwd
chmod 600 /etc/shadow
chmod 644 /etc/group

移除其他用户对etc目录写权限(保持755)

chmod -R go-w /etc

设置重要目录权限(保持750)

chmod -R 750 /etc/init.d/*

修改默认权限umask

编辑/etc下的profile、csh.login、bashrc文件

vi /etc/profile
vi /etc/csh.login
vi /etc/csh.cshrc
vi /etc/bashrc

在末尾增加 umask 027

资源限制

编辑“conf”文件

说明:core 0为禁止创建core文件,nproc用户进程数,rss除root外其它用户内存(M)

vi /etc/security/limits.conf
用户名 soft/hard(软件/硬件) core/nproc/rss/maxlogins 数值

配置pam设置,在文件尾添加

vi /etc/pam.d/login
session required pam_limits.so

文件属性限制

对/var/log/messages、/etc/passwd/etc/shadow、/etc/group文件属性限制,使用chattr命令

+和-代表增加或减少相关权限,+a只能追加,+i无法改动文件

chattr +a /var/log/messages
chattr +i /etc/shadow
chattr +i /etc/passwd
chattr +i /etc/group

日志配置

开启登录记录

vi /etc/rsyslog.conf
* /var/log/secure

安全事件记录

vi /etc/rsyslog.conf
*.info;mail.none;
authpriv.none;cron.none
/var/log/messages

cron行为审计

cron.* /var/log/cron


通信协议

访问控制

设置为白名单方式

编辑黑名单,默认禁止所有主机连接

vi /etc/hosts.deny

ALL:ALL@ALL,PARANOID

编辑白名单,允许连接的主机

vi /etc/hosts.allow

http:192.168.1.2

允许主机192.168.1.2以http方式访问主机(防火墙已开启http服务)

防护syn flood攻击

vi /proc/sys/net/ipv4/tcp_syncookie

1

不响应ICMP请求

vi /proc/sys/net/ipv4
/icmp_echo_ignore_all
1

防syn攻击优化

sysctl

net.ipv4.tcp_max_syn_backlog

最后添加="最大连接数(建议2048)

已有 1 条评论

博主已关闭本页面的评论功能