精华内容
下载资源
问答
  • LINUX安全加固方案

    2021-05-10 07:11:56
    LINUX 加固手册(2009-2-11)一、修改密码策略1、cp /etc/login.defs /etc/login.defs.bak2、vi /etc/login.defsPASS_MAX_DAYS 90 (用户的密码不过期最多的天数)PASS_MIN_DAYS 0 (密码修改之间最小的天数)PASS_MIN_LEN...

    LINUX 加固手册(2009-2-11)

    一、修改密码策略

    1、cp /etc/login.defs /etc/login.defs.bak

    2、vi /etc/login.defs

    PASS_MAX_DAYS 90 (用户的密码不过期最多的天数)

    PASS_MIN_DAYS 0 (密码修改之间最小的天数)

    PASS_MIN_LEN 8 (密码最小长度)

    PASS_WARN_AGE 7 (口令失效前多少天开始通知用户更改密码)

    按要求修改这几个密码选项,修改完之后保存(:wq!)退出即可。

    二、查看系统是否已设定了正确UMASK值(022)

    1、用命令umask查看umask值是否是 022,

    如果不是用下面命令进行修改:

    cp/etc/profile/etc/profile.bak

    vi /etc/profile

    找到 umask 022,修改这个数值即可。

    三、锁定系统中不必要的系统用户和组

    1、cp /etc/passwd /etc/passwd.bak

    cp /etc/shadow /etc/shadow.bak

    锁定下列用户

    2、for i in adm lp sync news uucp games ftp rpc rpcuser nfsnobody mailnull gdm do

    usermod -L $i

    done

    3、检查是否锁定成功

    more /etc/shadow 如 :lp:!*:13943:0:99999:7::: lp帐户后面有!号为已锁定。

    4、禁用无关的组:

    备份:

    cp /etc/group /etc/group.bak

    展开全文
  • Centos6.8 作为服务器操作系统安全加固参考文档,涉及较多、较全
  • Linux服务器加固方案

    万次阅读 2018-03-20 11:02:25
    Linux服务器安全 和 防火墙的配置 和 服务器加固方案 进行简单的讲解,防止初级黑客的攻击,文章主要是针对小白,和运维新手,写的不好,可能有些出入,欢迎各位大佬指点。 一、适用 Linux 操作系统版本 1.Red ...

        前言:本人在几家小厂做开发,主Java,因人手问题,前端/安卓/服务器等都有涉猎。这里我结合网上各位大佬的经验和自己收获总结。对Linux服务器安全 和 防火墙的配置 和 服务器加固方案 进行简单的讲解,防止初级黑客的攻击,文章主要是针对小白,和运维新手,写的不好,可能有些出入,欢迎各位大佬指点。

            一、适用 Linux 操作系统版本

        1.Red Hat 

        2.centos

            二、Linux操作系统简介

        1.国内外大部分服务器都装了Linux操作系统,各大超算的操作系统,大部分也是用Linux内核重新定制开发的操作系统,因为Linux操作系统相对其他操作系统来说,是比较安全的。

        2.首先因为Linux操作系统是开源免费的,管理员可以根据需求更改源码和设置。任何漏洞都会被大家很快发现,发布漏洞到社区,然后重新打上补丁,这个周期相当短,给黑客作乱的时间很少。

        3.Linux的权限管理比较严格,黑客就算想修改系统文件和日志,必须要管理员密码,重要的文件和日志不会被删除。

        4.大家都有过用windows系统安装软件被捆绑安装一些广告程序的痛苦,一些软件卸载了,过了段时间又自动复活了,Linux的程序管理基本都是利用程序管理软件,比如ubuntu、debian下的软件中心、centos,fedora和红帽的yum,都是从程序开发者官网上或者是相应的发行版社区直接下载安装,不会有被恶意篡改的软件被安装到使用者的电脑上,原理有的类似 Maven。

        三、简单Linux服务器加固方案 (修改配置文件之前请备份!谨记!)

        1.安装Linux系统后会有很多默认的账号和组,黑客扫描服务器这些默认账号默认密码进行测试登陆,从而得到使用权限,需要使用一定不能使用默认密码(从新设置8位以上的密码),如果不使用的话,就删除这些么系统默认不使用的帐号,包括:lp、mail、games、ftp、nobody、postfix等。删除系统默认不使用的组,包括:mail、games、ftp、nobody、postfix等

        2.启动密码策略,修改 /etc/login.defs来实现

        PASS_MAX_DAYS 60  #密码60天过期
    
        PASS_MIN_DAYS 1   #修改密码最小间隔为1天
    
        PASS_MIN_LEN 8    #最短密码要求8位
    
        PASS_WARN_AGE 7   #密码过期前7天内通知用户

        修改密码的命令:   passwd  root 需要输入两次密码,普通用户需要输入一次旧密码,在输入两次确认密码

        3.启用证书登录,或者4A登录,安全性高 (非专业运维不建议使用证书登录和4A登录,设置这个比较麻烦)

    证书登录详细操作参考网站:https://www.linuxidc.com/Linux/2015-12/126648.htm

    4A登录相对比较麻烦,安全性高,4A简介:https://baike.baidu.com/item/4A/1825?fr=aladdin

        4.连续3次输入密码错误,锁定5分钟,主要防黑客爆破,修改配置文件/etc/pam.d/system-auth

        auth required pam_env.so
    
        auth required pam_tally2.so deny=3 unlock_time=300

        5.SSH安全设置,你切换到root权限,使用 last 命令查看登录记录,你会发现有不同ip用root登录失败的记录,显然很多朋友想来你服务器做客,防止这类指定ip段扫描的朋友,简历采取一下措施:

    5.1 只使用协议版本2,禁止root登录,禁止空口令登录。

    使用root权限  vi /etc/ssh/sshd_config,具体配置自己找下面三句,有#注释就把#注释去掉,然后eq保存:

    Protocol 2         #只使用协议版本2
    PermitRootLogin no #禁止root登录
    PermitEmptyPasswords no  #禁止空口令登录
    5.2 新建一个用户 useradd testuser  ,设置该用户的密码  passwd testuser 密码设置8位以上,使用testuser 登录服务器,再su 到 root 用户。

    5.3 重启sshd服务才能生效

    service sshd restart 
        6.五分钟无操作的不活动用户自动断开ssh链接

    vi /etc/profile,在末尾加入以下内容:

    TMOUT=300    # 单位/秒

        7.清除系统别名

    cp /etc/aliases /etc/aliases_$( date "+%Y%m%d%H%M%S")  #备份
    cat /dev/null>&/etc/aliases                            #M清除系统别名
    

        8.定期更新系统

    Centos系统如果要检查系统更新的话,直接输入

    yum -y update  #升级所有包同时也升级软件和系统内核
    yum -y upgrade #只升级所有包,不升级软件和系统内核

        9.安装补丁
    你要经常检查更新以修复某些缺陷或系统稳定性的改进
    否则你存在漏洞的系统将会不时的遭受新的攻击
    方法:
    列出可用更新:           up2date -l
    安装未排除的更新:     up2date -u

    安装包括排除的更新  up2date -uf

        10. root 权限用户登录,邮件通知管理员,让您24小时知道是否有陌生朋友来你服务器做客。

    详细操作参考我另一篇文章:http://blog.csdn.net/qq_33168577/article/details/79552566

           四、防火墙配置      

    CentOS 7.0默认使用的是firewall作为防火墙,需要关闭firewall,安装iptables,详细操作请看:

    https://www.linuxidc.com/Linux/2015-05/117473.htm

        1.首先切换成root用户,备份防火墙配置

    cp /etc/sysconfig/iptables /etc/sysconfig/iptablesbak

        2.修改防火墙配置

    vi /etc/sysconfig/iptables

        3.加入以下规则示例:

    -A INPUT -p tcp -m state --state NEW -m tcp --dport 8080 -j ACCEPT 允许访问指定端口
    -A INPUT -p tcp -m state --state NEW -m tcp --dport 80 -j ACCEPT 允许访问通过指定端口
    -A INPUT -p tcp -m state --state NEW -m tcp --dport 3306 -j ACCEPT 允许访问通过指定端口

    你的web端口,和数据库端口可能不是我写的默认端口,自行开放你需要的端口

        4.只允许指定ip访问ssh 默认22端口 和 数据库3306 默认端口:

    -A INPUT -s 112.25.xx.xx -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT 允许指定ip访问tcp22端口
    -A INPUT -s 112.25.xx.xx -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT 允许指定ip访问tcp22端口
    -A INPUT -s 121.201.xx.xx -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT 允许指定ip访问tcp22端口
    -A INPUT -s 58.222.xx.xxx -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT 允许指定ip访问tcp22端口
    -A INPUT -s 112.25.xx.xx -p tcp -m state --state NEW -m tcp --dport 3306 -j ACCEPT 允许指定ip访问数据库3366端口
    -A INPUT -s 112.25.xx.xx -p tcp -m state --state NEW -m tcp --dport 3306 -j ACCEPT 允许指定ip访问数据库3366端口
    -A INPUT -s 121.201.xx.xx -p tcp -m state --state NEW -m tcp --dport 3306 -j ACCEPT 允许指定ip访问数据库3366端口
    -A INPUT -s 58.222.xx.xx -p tcp -m state --state NEW -m tcp --dport 3306 -j ACCEPT 允许指定ip访问数据库3366端口
    这里可以租一个或两个服务器长期当跳板机使用,或者你自己家里或者公司常用的ip。建议设置2个ip以上,否则一个跳板服务器挂了,就无法远程链接ssh端口了,只能去机房重置防火墙。

        5.防止外网用内网欺骗

    #防止外网用内网IP欺骗 #iptables -t nat -A PREROUTING -i eth0 -s 10.10.0.0/8 -j DROP #iptables -t nat -A PREROUTING -i eth0 -s 172.16.10.0/12 -j DROP #iptables -t nat -A PREROUTING -i eth0 -s 192.168.10.0/16 -j DROP

        6.eq保存后,请登录跳板机,备份并编辑跳板机的防火墙

    cp /etc/sysconfig/iptables /etc/sysconfig/iptablesbak
    vi /etc/sysconfig/iptables
        7.在跳板机的防火墙配置添加*nat规则,连接跳板服务器的xxxx端口,转发到应用服务器的ssh 22端口上
        *nat
    
        :PREROUTING ACCEPT [0:0]
    
        :POSTROUTING ACCEPT [0:0]
    
        :OUTPUT ACCEPT [0:0]
    
        -A PREROUTING -p tcp -i eth0 -d 跳板服务器的ip --dport 跳板服务器的无用端口 -j DNAT --to 应用服务器ip:应用服务器ssh 22端口
    
        COMMIT

    示例:

        *nat
    
        :PREROUTING ACCEPT [0:0]
    
        :POSTROUTING ACCEPT [0:0]
    
        :OUTPUT ACCEPT [0:0]
    
        -A PREROUTING -p tcp -i eth0 -d 192.168.2.34 --dport 8321 -j DNAT --to 192.168.2.35:22
    
        COMMIT

    修改后eq保存

        8.跳板服务器和应用服务器都重启防火墙 使以上配置生效

    service iptables restart

        9.原理图

        10.Linux防火墙 详细介绍和教程请参考:https://www.cnblogs.com/alimac/p/5848372.html

        五、服务器监控/异常邮箱告警 (不建议非专业运维安装这类监控软件)

        1.Linux常见监控软件 有 Nagios、Cacti、Zabbix、Monit 等,都是有服务器端 和 客户端[多] (监控端 和 被监控端[多])

        2.这类软件都是监控服务器集群的,所以用来监控3台以下服务器有点杀鸡用牛刀了。

        3.可以监控服务器安装了Tomcat/Mysql/Oracle/  等等软件 占用CPU的大小,占用内存大小等

        4.也可以监控CPU/内存/硬盘空间/MySQL使用率/等所有硬件

        5.软件 或 硬件指数 超过指定阀值,设置邮箱告警。

        6.小编在运维朋友的协助下 只安装成功过 zabbix,下面是示例图片:

    详细Zabbix安装配置操作请参考我另一篇文章:http://blog.csdn.net/qq_33168577/article/details/73294083

    6.1:仪表盘

        

    6.2 Mysql 使用率

     

    6.3 CPU 使用率

     

    6.4 硬盘空间使用率

     

    展开全文
  • Linux安全加固的常用方法

    千次阅读 2019-12-15 19:10:50
    i 's/\(PasswordAuthentication\) yes/\1 no/' /etc/ssh/sshd_config 配置用户最小权限 chmod 644 /etc/passwd chmod 400 /etc/shadow chmod 644 /etc/group 许多网络服务使用的是Linux系统,安装了Apache服务器软件...

    创建普通用户

    useradd fczxadmin
    echo "xxzx#2017admin" | passwd --stdin xxzxadmin
    

    禁止root用户直接登陆SSH

    sed -i 's/\(PasswordAuthentication\) yes/\1 no/' /etc/ssh/sshd_config   
    

    配置用户最小权限

    chmod 644 /etc/passwd 
    chmod 400 /etc/shadow 
    chmod 644 /etc/group
    

    许多网络服务使用的是Linux系统,安装了Apache服务器软件。容易受到黑客用NMAP来扫描web网站,现分享一个防范经验。

    我样可以通过设置,让Linux对NMAP扫描不理彩。即用iptables工具来过滤网络信息,让系统无法回应扫描请求的信息。以

    此来提高服务器的安全性。
    需要运行如下命令:www.2cto.com

     #iptables -F
      #iptables -A INPUT -p tcp --tcp-flags ALL FIN,URG,PSH -j Drop
      #iptables -A INPUT -p tcp --tcp-flags SYN,RST SYN,RST -j Drop
      #iptables -A INPUT -p tcp --tcp-flags SYN,FIN SYN,FIN -j Drop
      #iptables -A INPUT -p tcp --tcp-flags SYN,SYN --dport 80 -j Drop
    
    echo "echo 1 >/proc/sys/net/ipv4/icmp_echo_ignore_all">>/etc/rc.d/rc.local
    

    先不让对方PING到

    禁用用户登录系统

    usermod -s /sbin/nologin wangshibo
    
    usermod -L 用户         //锁定帐号,-L:lock
    usermod -U 用户        //解锁帐号,-U:unlock
    

    Linux使用PAM锁定多次登陆失败的用户(含重置错误次数)

    /etc/pam.d/sshd    (远程ssh)
    /etc/pam.d/login    (终端)
    

    在第一行下即#%PAM-1.0的下面添加:

    auth    required    pam_tally2.so deny=5 unlock_time=600 even_deny_root root_unlock_time=1200
    

    各参数解释:
    even_deny_root 也限制root用户;

    deny 设置普通用户和root用户连续错误登陆的最大次数,超过最大次数,则锁定该用户

    unlock_time 设定普通用户锁定后,多少时间后解锁,单位是秒;

    root_unlock_time 设定root用户锁定后,多少时间后解锁,单位是秒;
    手动解除锁定:
    查看某一用户错误登陆次数:
    pam_tally –-user
    例如,查看work用户的错误登陆次数:
    pam_tally –-user work
    清空某一用户错误登陆次数:
    pam_tally –-user –-reset
    例如,清空 work 用户的错误登陆次数,
    pam_tally –-user work –-reset

    faillog -r 命令亦可。

    如果前几条没生效的话,也可以使用命令:

    pam_tally2 –u tom --reset将用户的计数器重置清零(SLES 11.2下用此命令才重置成功)

    查看错误登录次数:pam_tally2 –u tom

    查看用户登录失败的次数
    [root@node100 pam.d]# pam_tally2 --user redhat
    Login Failures Latest failure From
    redhat 7 07/16/12 15:18:22 tty1
    解锁指定用户
    [root@node100 pam.d]# pam_tally2 -r -u redhat
    Login Failures Latest failure From
    redhat 7 07/16/12 15:18:22 tty1

    密码复杂度设置
    rpm -qa | grep cracklib

    /etc/login.defs详解:
    PASS_MAX_DAYS 99999 #密码的最大有效期, 99999:永久有期
    PASS_MIN_DAYS 0 #是否可修改密码,0可修改,非0多少天后可修改
    PASS_MIN_LEN 5 #密码最小长度,使用pam_cracklib module,该参数不再有效
    PASS_WARN_AGE 7 #密码失效前多少天在用户登录时通知用户修改密码

    chage -l root

    vi /etc/pam.d/system-auth
    password requisite pam_cracklib.so retry=5 difok=3 minlen=10 ucredit=-1 lcredit=-2 dcredit=-1 ocredit=-1

    它表示密码必须至少包含一个大写字母(ucredit),两个小写字母(lcredit),一个数字(dcredit)和一个标点符号(ocredit)

    可用参数说明
    debug
    此选项使模块的信息写入到syslog(3),显示模块的行为(此选项不写密码信息到日志文件)。

    type=XXX
    默认的动作是模块使用以下提示时,要求口令:“新的UNIX密码:“和”重新输入UNIX密码:“。默认的Word UNIX可以被替换为这个选项。

    retry=N
    改变输入密码的次数,默认值是1。就是说,如果用户输入的密码强度不够就退出。可以使用这个选项设置输入的次数,以免一切都从头再来。

    difok=N
    默认值为10。这个参数设置允许的新、旧密码相同字符的个数。不过,如果新密码中1/2的字符和旧密码不同,则新密码被接受。

    difignore=N
    多少个字符的密码应收到difok将被忽略。默认为23

    minlen=N
    新的最低可接受的大小密码(加一个,如果没有禁用学分这是默认值)。除了在新密码的字符数,贷方(在长度+1),给出了各种人物的不同种类(其他,大写,小写,数字)。此参数的默认值是9,它是一个老式的UNIX密码的字符相同类型的所有好,但可能过低,利用一个MD5的系统增加安全性。请注意,有一个在Cracklib本身长度的限制,一“的方式太短“4极限是硬编码和定义的限制(6),将不参考minlen检查对。如果你想允许密码短短5个字符,你不应该使用这个模块。

    dcredit=N
    限制新密码中至少有多少个数字。

    ucredit=N
    限制新密码中至少有多少个大写字符。

    lcredit=N
    限制新密码中至少有多少个小写字符。

    ocredit=N
    限制新密码中至少有多少个其它的字符。

    批量执行

    cp /etc/profile /etc/profile_lxlbak
    cp /etc/login.defs /etc/login.defs_lxlbak
    cp /etc/pam.d/sshd /etc/pam.d/sshd_lxlbak
    cp /etc/pam.d/system-auth /etc/pam.d/system-auth_lxlbak
    sed -i '/PASS_WARN_AGE/s/7/30/' /etc/login.defs 
    sed -i '/PASS_MIN_LEN/s/5/8/' /etc/login.defs
    sed -i '/PASS_MAX_DAYS/s/99999/180/' /etc/login.defs
    sed -i '/PASS_MIN_DAYS/s/0/6/' /etc/login.defs
    echo 'TMOUT=600' >>/etc/profile
    ls -la /etc/passwd
    ls -la /etc/shadow
    ls -la /etc/group
    chmod 644 /etc/passwd
    chmod 400 /etc/shadow
    chmod 644 /etc/group
    ls -la /etc/passwd
    ls -la /etc/shadow
    ls -la /etc/group
    sed -i "/#%PAM-1.0/a\auth required pam_tally2.so onerr=fail deny=5 unlock_time=600 even_deny_root root_unlock_time=1200" /etc/pam.d/sshd
    sed -i '/#%PAM-1.0/a\password required pam_cracklib.so  try_first_pass retry=5 difok=5 minlen=10 ucredit=-1 lcredit=-1 ocredit=-1 dcredit=-1' /etc/pam.d/system-auth
    service sshd restart
    
    展开全文
  • linux操作系统安全加固方法(最全,项目亲测有效)
  • 基于 centos7 安全加固背景新的改变功能快捷键合理的创建标题,有助于目录的生成如何改变文本的样式插入链接与图片如何插入一段漂亮的代码片生成一个适合你的列表创建一个表格设定内容居中、居左、居右SmartyPants...

    背景

    去年买了台云主机玩玩,一开始以为网络安全这个领域对我来说还太远了,黑客根本不可能攻击我的主机,但是没过多久我的主机就被黑客无情攻击了,直到收到一条云主机服务商发的短信告诉我主机被植入了挖矿程序,一脸懵逼的我以为杀掉这个挖矿进程,然后再删掉这个挖矿程序文件就可以了,结果现实打脸的比较快,不到5分钟,挖矿程序再次启动,cpu 继续打满 100%,被删掉的挖矿程序文件再次出现在同样的目录,之后也排查过 crontab 定时任务,也没发现什么问题,最终通过请教大神,把挖矿文件内容清空,然后通过 chattr +i 命令给这个文件加锁,之后这个挖矿程序就再也没有启动了。我以为这个问题解决了,但事实上之后 nginx 总是会莫名其妙的被杀掉,这时候让我对 Linux 系统安全引起了重视和兴趣,我决定把 Linux 系统安全加入到我的学习计划中,通过总结和请教,写下了这篇 linux 安全加固方案。

    分析

    上面说到我的主机被攻击,通过事后分析,我也总结了几点原因:
    1.端口开放比较随意,redis、zookeeper、tomcat都是使用默认的端口,而且入方向规则是所有地址均可访问。
    2.开放了 root 远程登录的权限。
    3.使用 sshd V1 版本的协议(推荐使用 V2 版本,因为 V1 有bug)。
    其实我的主机问题包括但不限于以上问题,列出来的是比较低级的问题。

    方案

    1.创建用于登录的用户 admin
    因为接下来我们要将 root 远程登录权限给卸掉,但有时又需要使用 root 权限,这时候就应该用一个低权限普通账户登录,然后再 su root 来使用,所以先创建一个 admin 的普通用户,并将其添加至 wheel 组。

    [root@kilobytech ~]$ useradd admin -g wheel
    [root@kilobytech ~]$ passwd admin 回车下一步
    输入密码******回车确认
    再次输入密码******回车确认
    

    2.限制 su 命令使用的条件

    [root@kilobytech ~]$ vim /etc/pam.d/su
    

    添加下面两行,其中 auth 后面是两个 tab 键,sufficient 和 required 后面是一个 tab 键

    auth            sufficient      pam_rootok.so
    auth            required        pam_wheel.so use_uid
    

    限定非 wheel 组内用户不得使用 su 命令

    [root@kilobytech ~]$ vim /etc/login.defs
    

    在文件末尾添加 SU_WHEEL_ONLY yes 保存文件,这一步是为了配置只允许特定的 wheel 组内用户 su 到 root。

    SU_WHEEL_ONLY yes
    

    3.配置 sshd 服务安全加固

    [root@kilobytech ~]$ vim /etc/ssh/sshd_config
    

    修改以下配置项

    # 禁止 root 远程登陆,若需要使用 root 权限,必须使用低权限普通账户登录主机后 su 切换到 root
    PermitRootLogin no
    # ssh 修改默认的登陆端口 22,记得需要在安全组规则里配置修改后端口入方向权限,并删除原 22 端口的规则
    Port 7722
    # 禁止空密码登录
    PermitEmptyPasswords no
    # 允许三次尝试
    MaxAuthTries 3
    # 在20秒内不能完成登录,则断开连接
    LoginGraceTime 20
    # 600秒后无动作就自动断开连接
    ClientAliveInterval 600
    # 闲置会话最多3个
    ClientAliveCountMax 3
    # 确保SSH LogLevel设置为INFO,记录登录和注销活动
    LogLevel INFO
    # SSHD强制使用V2安全协议
    Protocol 2
    # 重启 ssh 服务
    [root@kilobytech ~]$ systemctl restart sshd.service
    

    4.调整和关闭非必须的服务

    # 关闭 postfix 服务。如无必要,禁止该服务。
    [root@kilobytech ~]$ systemctl disable postfix
    # 服务器禁 ping
    [root@kilobytech ~]$ vim /etc/sysctl.conf
    在最后一行追加  net.ipv4.icmp_echo_ignore_all = 1
    # 执行命令 (配置文件才能生效):sysctl -p
    [root@kilobytech ~]$ sysctl -p
    

    5.将进程的内存空间地址随机化

    # 增大入侵者预测目的地址难度,从而降低进程被成功入侵的风险
    [root@kilobytech ~]$ sysctl -w kernel.randomize_va_space=2
    

    6.安装检测工具 chkrootkit 和 rkhunter
    chkrootkit 安装&使用

    [root@kilobytech ~]$ yum install -y gcc
    [root@kilobytech ~]$ yum install -y gcc-c++
    [root@kilobytech ~]$ yum install -y make
    [root@kilobytech ~]$ yum install -y glibc-static
    [root@kilobytech ~]$ mkdir /usr/local/etc/chrootkit
    [root@kilobytech ~]$ cd /usr/local/etc/chrootkit/
    [root@kilobytech ~]$ wget ftp://ftp.pangeia.com.br/pub/seg/pac/chkrootkit.tar.gz
    [root@kilobytech ~]$ tar zxvf chkrootkit.tar.gz 
    [root@kilobytech ~]$ cd chkrootkit-0.53/
    [root@kilobytech ~]$ make sense       #编译
    [root@kilobytech ~]$ ./chkrootkit     #检测命令,若出现INFECTED那就要小心了(./chkrootkit | grep INFECTED)
    

    chkrootkit 在检查 rootkit 的过程中使用了部分系统命令,因此,如果服务器被黑客入侵,那么依赖的系统命令可能也已经被入侵者替换,此时 chkrootkit 的检测结果将变得完全不可信。为了避免 chkrootkit 的这个问题,可以在服务器对外开放前,事先将 chkrootkit 使用的系统命令进行备份,在需要的时候使用备份的原始系统命令让 chkrootkit 对 rootkit 进行检测。这个过程可以通过下面的操作实现:

    [root@kilobytech ~]$ mkdir /usr/share/.commands
    [root@kilobytech ~]$ cp `which --skip-alias awk cut echo find egrep id head ls netstat ps strings sed uname` /usr/share/.commands
    # 使用备份过的命令来检测
    [root@kilobytech ~]$ /usr/local/etc/chrootkit/chkrootkit-0.53/chkrootkit -p /usr/share/.commands/ | grep INFECTED
    [root@kilobytech ~]$ cd /usr/share/
    # 打压缩包备份命令更稳妥
    [root@kilobytech ~]$ tar zcvf commands.tar.gz .commands
    

    rkhunter 安装&使用

    # 官网下载 https://sourceforge.net/projects/rkhunter/files/
    [root@kilobytech ~]$ mkdir /usr/local/etc/rkhunter/
    # 把文件下载到 /usr/local/etc/rkhunter/ 
    # 解压
    [root@kilobytech ~]$ tar xfz rkhunter-1.4.6.tar.gz
    # 安装
    [root@kilobytech ~]$ cd /usr/local/etc/rkhunter/rkhunter-1.4.6
    [root@kilobytech ~]$ ./installer.sh --layout default --install
    # 开始检测
    [root@kilobytech ~]$ rkhunter -c
    # 检测结果绿色的代表安全,红色的需要引起注意
    

    最后,对所有重要文件进行锁定,不解锁的情况下 root 都无法删除修改

    [root@kilobytech ~]$ chattr +i  /etc/passwd  /etc/group  /etc/shadow /etc/gshadow /etc/inittab /etc/pam.d/su /etc/sudoers /etc/login.defs /etc/ssh/sshd_config /usr/share/commands.tar.gz
    

    各位有好的建议可以在评论区补充

    展开全文
  • linux加固方案、windows的加固方案安全事件响应方案及应急处置排查方法
  • .PAGEword版本PAGE 2目 录TOC \o "1-3" \h \z \u LINUX加固方案 11.安装最新安全补丁 42.网络和系统服务 43.核心调整 64.日志系统 75.文件/目录访问许可权限 76.系统访问, 认证和授权 87.用户账号和环境 108.关键...
  • Linux安全加固

    千次阅读 2018-08-25 11:11:15
    账户安全 1.1 锁定系统中多余的自建帐号 检查方法: 执行命令 #cat /etc/passwd #cat /etc/shadow 查看账户、口令文件,与系统管理员确认不必要的账号。对于一些保留的系统伪帐户如:bin, sys,adm,uucp,lp,...
  • Linux常用的安全加固方法一、账号1. 密码策略2. SSH3. 限制登陆IP4. 限制登陆次数(有坑)如果攻击持续时间足够长。。。5. 审计日志 一、账号 1. 密码策略 $ vim /etc/login.defs # Password aging controls: # #...
  • Linux-安全加固

    2021-10-30 17:38:20
    文章目录系列文章目录前言安全加固——基础加固方法文件系统配置软件更新配置软件更新配置安全启动配置加固内核参数警告信息设置 前言 安全加固的目的: 操作系统之上的各种应用,要想获得信息的完整性、机密性、...
  • 目前,网络安全逐渐被重视,更多的公司开始执行等保评定,本文主要介绍Redhat Linux系统在做等保时需要加固和注意的事项。
  • 本文详细总结了PHP网站在Linux服务器上面的安全配置,包含PHP安全、mysql数据库安全、web服务器安全、***查杀和防范等,很好很强大很安全。php安全配置:1. 确保运行php的用户为一般用户,如www2. php.ini参数设置...
  • 简谈Linux安全加固经验总结 本人菜鸟一枚,希望通过CSDN文章,总结日常工作、学习到的经验 Linux系统加固主要通过以下几个方面,实现系统安全加固。本文以Centos7作为例子,进行总结。 目录系统安全防线设置防火墙...
  • 文档包括调整系统服务运行用户,以降低服务运行权限;防止暴力破解,对异常IP进行监控处理;远程登陆保护,对异常登陆用户进行监控保护;修改SSH默认端口,提高系统安全等等。
  • Linux安全加固基线。从扫描器中导出的配置结果,提供了检查项目、配置命令等。能够为Linux提供较好的加固方案
  • 修改配置文件/etc/pam.d/system-auth,修改以下内容: auth required pam_env.so auth required pam_tally2.so deny=3 unlock_time=300 三、SSH安全配置 只使用协议版本2,禁止root登录,禁止空口令登录。...
  • CentOS7 系统安全加固实施方案介绍,
  • 一、Tomcat版本安全在不升级大版本的情况下,升级到最新稳定版本。1.Tomcat6.x:该版本已经于2016年12月31日停止支持,最新稳定版本为6.0.53,下载地址:...
  • 一、Tomcat版本安全在不升级大版本的情况下,升级到最新稳定版本。1.Tomcat6.x:该版本已经于2016年12月31日停止支持,最新稳定版本为6.0.53,下载地址:...
  • Linux 系统安全加固

    千次阅读 多人点赞 2020-08-19 21:31:48
    centos7 系统安全加固方案… 2 一.密码长度与有效期… 2 默认配置:… 2 加固方案: 2 备注: 3 二.密码复杂度… 3 默认配置: 3 加固方案: 3 备注: 4 三.新口令不能与4个最近使用的相同… 4 默认配置: 4 加固方案: 5 ...
  • Linux主机安全加固

    千次阅读 2019-10-07 18:06:02
    升级openssh版本 设置终端超时 删除无效定时任务 删除无效一次性任务 进程管理 ...SSH安全配置 无效服务管理 防火墙策略 设置历史记录条数: 设置系统日志保留时间 锁定不必要用户
  • 1 Linux SSH安全加固

    2020-02-06 17:03:07
    Linux SSH 安全加固,这里使用CentOS7.5 做演示 一、配置SSH双因素登录 ​ 1.确定系统时钟是正确的 ​ 2.安装相关依赖 ​ yum install -y git gcc automake autoconf libtool make pam-devel ​ 3.安装google 验证...
  • NFS(Network File System)是 FreeBSD 支持的一种文件系统,它允许网络中的计算机之间通过 TCP/IP 网络共享...为有效应对以上安全隐患,推荐您使用下述加固方案。 配置共享目录(/etc/exports) 使用 anonuid,anong
  • PHP安全配置1. 确保运行php的用户为一般用户,如www2. php.ini参数设置1disable_functions = passthru,exec,system,chroot,chgrp,chown,shell_exec,proc_open,proc_get_status,ini_alter,ini_restore,dl,openlog,...
  • Linux-iptables安全加固

    2021-03-26 17:58:35
    iptables安全加固 主机型 用户态,在/sbin/iptables存在(user iptables)的防火墙,是用户看得见能操作的。 linux-iptables主机型防火墙工作在2,3,4层,对TCP/IP数据包进行过滤和限制。属于包过滤型防火墙。...
  • 主要给出linux系统加固的知识点

空空如也

空空如也

1 2 3 4 5 ... 20
收藏数 3,239
精华内容 1,295
关键字:

linux安全加固方案

linux 订阅