精华内容
下载资源
问答
  • 服务器安全

    万次阅读 2018-11-26 12:41:03
    服务器安全是一个讨论不完的话题,既然不能专业,那就交给专业的服务商去,我们可以采用阿里云、安全狗、xxx和xxx平台的服务,综合保障服务器安全。 使用阿里云盾定期扫描域名,及时处理发现的风险。 使用阿里...

    服务器安全是一个讨论不完的话题,既然不能专业,那就交给专业的服务商去做,我们可以采用阿里云、cloudflare等平台的服务,综合保障服务器安全。

    1. 使用阿里云盾定期扫描域名,及时处理发现的风险。
    2. 使用阿里云安骑士,保护服务器安全,有病毒查杀、漏洞管理、入侵检测等功能,而且企业版的一年只需要三百多,免费的也能用。
    3. 使用阿里云的云监测服务,可以帮助我们监控服务器情况。
    4. CDN加速服务商可以使用cloudflare,也可以使用阿里CND,既能提升用户访问体验,也可以隐藏服务器真实IP。
    5. 最后,在生产环境允许的情况下,服务器可以滚动更新,保持操作系统的最新版本。
    展开全文
  • 服务器安全篇【ssh安全

    千次阅读 2018-02-11 11:54:23
    一元一个月学生机都有人入侵,根据提示ssh端口再被爆破),上服务器看了下history,记录被清除了,根据腾讯的安全提示找到了相应可疑病毒文件,本地虚拟机了分析这应该是一个十字符病毒,没看到可疑正在运行进程。...

    前言

    中午吃饭时才注意到腾讯云给我发了很多安全提示(惨无人性啊,一元一个月学生机都有人入侵,根据提示ssh端口再被爆破),上服务器看了下history,记录被清除了,根据腾讯的安全提示找到了相应可疑病毒文件,本地虚拟机做了分析这应该是一个十字符病毒,没看到可疑正在运行进程。亏我还是搞安全的,啪啪打脸,qwq
    本来也就是一个测试机,索性直接重置系统了(如果是有各种服务的站点就要头疼了),这里对新重置的ubuntu16.04主机进行一个ssh的安全配置,供个人云主机用户参考~

    更换ssh端口

    或许你会说,这毫无意义,黑客依然能够发现我的端口,但是,你得注意到,除非你是被盯上了,否则批量自动化脚本在互联网上的爆破攻击,他们不会有耐心去扫描1-65535这么多端口,只会扫描一些常用的端口,将ssh端口更换成30000-40000之间是一个非常棒的做法~

    打开配置文件

    sudo vi /etc/ssh/sshd_config
    

    找到下面配置

    Port 22
    

    将22更改为自己新的端口后别着急,这个时候前往自己云服务器的控制台,找到安全组,添加允许出入得端口,如下图:

    这里写图片描述
    这里写图片描述
    添加了端口之后对ssh进行重启操作

    sudo service ssh restart
    

    效果:
    这里写图片描述
    这里写图片描述

    管理ssh用户

    很多ssh爆破问题都出在root用户身上,也许你认为你的密码强度差不多足够了,但不排除依旧被黑客给爆破出来,所以我们需要一个新的用户,去管理系统,比如这样:(ps:指令的具体参数操作自行百度)

        #创建用户
        useradd userA  //创建用户userA
        useradd –e 12/30/2017 userB  //创建userB,指定有效期2017-12-30到期
        useradd –u 600 userC  //创建userC指定用户id为600
        #给与密码
        passwd user1   //无密码用户不能使用此命令。
        #给与可以切换到root的权限
    	usermod –g users sudo  //将用户 user1 加入到 sudo组中
    	usermod –d /users/us1 user1  //将用户 user1 目录改为/users/us1
    
    
    	#腾讯云的初始ubuntu用户就是这样权限良好的用户,但是用户名由于使用广泛依旧容易被爆破,我们可以对其更改用户名为非常用用户名比如233wahaha
    	usermod –l 233wahaha ubuntu
    

    这样我们就可以在登陆上,如233wahaha用户之后使用

    sudo -i
    

    切换到root进行其他操作

    下面对root进行拒绝登陆设置

    sudo vi /etc/ssh/sshd_config
    #找到关键代码
    # Authentication:  
    LoginGraceTime 120   
    PermitRootLogin yes  
    StrictModes yes
    #更改为
    # Authentication:  
    LoginGraceTime 120  
    PermitRootLogin prohibit-password    
    StrictModes yes
    

    拒绝空密码登陆

    PermitEmptyPasswords no
    

    连接数及配置权限管理

    sudo vi /etc/ssh/sshd_config
    

    找到:

    #MaxStartups 10:30:60
    

    更改为:

    MaxStartups 10   #10根据自己的需要更改,代表最多同时登陆ssh数量
    

    可以注意到我们的很多操作都是在/etc/ssh/sshd_config进行的,所以对其修改权限我们必须要做限制

    chmod 744 /etc/ssh/sshd_config  //对所有非root用户设置只读权限,防止非授权用户修改sshd 服务的安全设置
    

    黑名单白名单操作

    hosts.allow和 hosts.deny

    服务器默认接受所有的请求连接,这是非常危险的,阻止或允许应用服务仅对某些主机开放,给系统在增加一道安全屏障。这部分设置共涉计到/etc/目录下的两个文件:hosts.allow和 hosts.deny。

    将那些明确允许的请求添加到/etc/hosts.allow中。如系统仅允许IP地址为192.168.0.15和10.0.0.11的主机使用 sshd服务,则添加如下内容:

    sshd:192.168.0.15 10.0.0.11
    

    将需要禁止使用的信息添加到/etc/hosts.deny中。如对除了在hosts.allow列表中明确允许使用sshd的用户外,所有其他用户都禁止使用sshd服务,则添加如下内容到hosts.deny文件中:

    sshd:All
    

    注意:系统对上述两个文件的判断顺序是先检查hosts.allow文件再查看hosts.deny文件,因此一个用户在hosts.allow允许使用网络资源,而同时在hosts.deny中禁止使用该网络资源,在这种情况下系统优先选择使用hosts.allow配置,允许用户使用该网络资源。

    使用DenyHosts

    对这里可以有更多的利用点,这里介绍一个freebuf上看到的工具,原文点这里

    使用DenyHosts软件来设置,其下载地址:

    https://sourceforge.net/projects/denyhosts/files/denyhosts/2.6/DenyHosts-2.6.tar.gz/download

    (1)安装cdDenyHosts

    # tar-zxvf DenyHosts-2.6.tar.gz # cdDenyHosts-2.6 # pythonsetup.py install
    

    默认是安装到/usr/share/denyhosts目录的。

    (2)配置cdDenyHosts

    # cd/usr/share/denyhosts/ # cpdenyhosts.cfg-dist denyhosts.cfg # videnyhosts.cfg
    
    PURGE_DENY= 50m #过多久后清除已阻止IP
    HOSTS_DENY= /etc/hosts.deny #将阻止IP写入到hosts.deny
    BLOCK_SERVICE= sshd #阻止服务名
    DENY_THRESHOLD_INVALID= 1 #允许无效用户登录失败的次数
    DENY_THRESHOLD_VALID= 10 #允许普通用户登录失败的次数
    DENY_THRESHOLD_ROOT= 5 #允许root登录失败的次数
    WORK_DIR= /usr/local/share/denyhosts/data #将deny的host或ip纪录到Work_dir中
    DENY_THRESHOLD_RESTRICTED= 1 #设定 deny host 写入到该资料夹
    LOCK_FILE= /var/lock/subsys/denyhosts #将DenyHOts启动的pid纪录到LOCK_FILE中,已确保服务正确启动,防止同时启动多个服务。
    HOSTNAME_LOOKUP=NO#是否做域名反解
    ADMIN_EMAIL= #设置管理员邮件地址
    DAEMON_LOG= /var/log/denyhosts #自己的日志文件
    DAEMON_PURGE= 10m #该项与PURGE_DENY 设置成一样,也是清除hosts.deniedssh 用户的时间。
    

    (3)设置启动脚本

    # cpdaemon-control-dist daemon-control # chownroot daemon-control # chmod700 daemon-control
    

    完了之后执行daemon-contronstart就可以了。

    #./daemon-control start
    

    如果要使DenyHosts每次重起后自动启动还需做如下设置:

    # ln -s/usr/share/denyhosts/daemon-control /etc/init.d/denyhosts
    #chkconfig --add denyhosts #chkconfig denyhosts on#service denyhosts start
    

    可以看看/etc/hosts.deny内是否有禁止的IP,有的话说明已经成功了。

    双因子登陆

    (1)什么是双因子认证
    在这种多重认证的系统中,用户需要通过两种不同的认证程序:提供他们知道的信息(如用户名/密码),再借助其他工具提供用户所不知道的信息(如用手机生成的一次性密码)。这种组合方式常叫做双因子认证或者两阶段验证。
    (2)怎么去简单实现双因子认证登陆ssh
    提到双因子登陆,或许大家知道的更多的是Google身份密钥管理器,但由于不能备份的原因,我是拒绝使用的,一但手机遗失,你的服务器就永远也上不去了
    这里推荐Linux中国17年开发的一个微信小程序,运维密码
    发布的具体介绍,点这里
    详细的一些操作小程序上有介绍,不多介绍了~

    总结

    上述操作已经可以屏蔽掉普通站点的绝对多数针对ssh的攻击,对于大规模dos,我只能说能有价值让黑产去dos的,应该不差钱,做个cdn去吧

    最后一句话,安全做的再好,也抵不住密码123456,抵制弱密码,从我做起~

    展开全文
  • 服务器安全防护

    千次阅读 2018-12-08 17:24:42
    IT技术可以说是一把双刃剑,为我们带来便捷的同时,也带来了威胁,网络安全问题就是其中之一。如今,随着黑客技术的发展,服务器被攻击的事件屡见不鲜,如何保障服务器...1. 从基本起,及时安装系统补丁 不论是...

    IT技术可以说是一把双刃剑,为我们带来便捷的同时,也带来了威胁,网络安全问题就是其中之一。如今,随着黑客技术的发展,服务器被攻击的事件屡见不鲜,如何保障服务器安全是运维界广泛关注的问题。
    我们没有办法彻底解决网络安全问题,但可以不断加强防护,提高服务器的抵御能力。那么,我们要如何提升服务器的安全性呢?IT运维专家为大家提供了七个维护服务器安全的技巧。
    服务器安全防护服务器安全防护

    1. 从基本做起,及时安装系统补丁

    不论是Windows还是Linux,任何操作系统都有漏洞,及时的打上补丁避免漏洞被蓄意攻击利用,是服务器安全最重要的保证之一。

    2. 安装和设置防火墙

    现在有许多基于硬件或软件的防火墙,很多安全厂商也都推出了相关的产品。对服务器安全而言,安装防火墙非常必要。防火墙对于非法访问具有很好的预防作用,但是安装了防火墙并不等于服务器安全了。在安装防火墙之后,你需要根据自身的网络环境,对防火墙进行适当的配置以达到最好的防护效果。
    服务器安全防护服务器安全防护

    3. 安装网络杀毒软件

    现在网络上的病毒非常猖獗,这就需要在网络服务器上安装网络版的杀毒软件来控制病毒传播,同时,在网络杀毒软件的使用中,必须要定期或及时升级杀毒软件,并且每天自动更新病毒库。

    4. 关闭不需要的服务和端口

    服务器操作系统在安装时,会启动一些不需要的服务,这样会占用系统的资源,而且也会增加系统的安全隐患。对于一段时间内完全不会用到的服务器,可以完全关闭;对于期间要使用的服务器,也应该关闭不需要的服务,如Telnet等。另外,还要关掉没有必要开的TCP端口。
    服务器安全防护服务器安全防护

    5. 定期对服务器进行备份

    为防止不能预料的系统故障或用户不小心的非法操作,必须对系统进行安全备份。除了对全系统进行每月一次的备份外,还应对修改过的数据进行每周一次的备份。同时,应该将修改过的重要系统文件存放在不同服务器上,以便出现系统崩溃时(通常是硬盘出错),可以及时地将系统恢复到正常状态。

    6. 设置账号和密码保护

    账号和密码保护可以说是服务器系统的第一道防线,目前网上大部分对服务器系统的攻击都是从截获或猜测密码开始。一旦黑客进入了系统,那么前面的防卫措施几乎就失去了作用,所以对服务器系统管理员的账号和密码进行管理是保证系统安全非常重要的措施。
    服务器安全防护服务器安全防护

    7. 监测系统日志

    通过运行系统日志程序,系统会记录下所有用户使用系统的情形,包括最近登录时间、使用的账号、进行的活动等。日志程序会定期生成报表,通过对报表进行分析,你可以知道是否有异常现象。
    服务器安全问题是一个大问题,如果你不希望重要的数据被病毒或是黑客破坏,甚至被可能用这些数据来对付你的人窃取,那么本文介绍的安全小技巧可能会对你有所帮助。

    展开全文
  • Linux服务器安全加固

    万次阅读 多人点赞 2018-09-30 12:31:08
    对未经过安全认证的RPM包进行安全检查 Linux用户方面的加固 设定密码策略​ 对用户密码强度的设定 对用户的登录次数进行限制 禁止ROOT用户远程登录 设置历史命令保存条数和账户超时时间 设置只有指定用户组...

    目录

    对未经过安全认证的RPM包进行安全检查

    Linux用户方面的加固

    设定密码策略

    对用户密码强度的设定

    对用户的登录次数进行限制

    禁止ROOT用户远程登录

    设置历史命令保存条数和账户超时时间

    设置只有指定用户组才能使用su命令切换到root用户

    对Linux账户进行管理

    对重要的文件进行锁定,即使ROOT用户也无法删除

    建立日志服务器


    对未经过安全认证的RPM包进行安全检查

    rpm  -qp   xxx.rpm   --scripts     查看rpm包中的脚本信息

    Linux用户方面的加固

    设定密码策略

    修改  /etc/login.defs 配置文件

    • PASS_MAX_DAYS      90               密码最长有效期
    • PASS_MIN_DAYS       10               密码修改之间最小的天数
    • PASS_MIN_LEN          8                密码长度
    • PASS_WARN_AGE     7                 口令失效前多少天开始通知用户修改密码

    脚本实现设定密码策略

    #! /bin/bash
    # Author:谢公子
    # Date: 2018-10-12
    # Function: 实现对用户密码策略的设定,如密码最长有效期等
    read -p  "设置密码最多可多少天不修改:" A
    read -p  "设置密码修改之间最小的天数:" B
    read -p  "设置密码最短的长度:" C
    read -p  "设置密码失效前多少天通知用户:" D
    sed -i '/^PASS_MAX_DAYS/c\PASS_MAX_DAYS   '$A'' /etc/login.defs
    sed -i '/^PASS_MIN_DAYS/c\PASS_MIN_DAYS   '$B'' /etc/login.defs
    sed -i '/^PASS_MIN_LEN/c\PASS_MIN_LEN     '$C'' /etc/login.defs
    sed -i '/^PASS_WARN_AGE/c\PASS_WARN_AGE   '$D'' /etc/login.defs
    echo "已设置好密码策略......"
    

    对用户密码强度的设定

    打开 /etc/pam.d/sysetm-auth 文件 ,修改如下。我们设置新密码不能和旧密码相同,同时新密码至少8位,还要同时包含大字母、小写字母和数字

    password    requisite     pam_pwquality.so try_first_pass local_users_only retry=3 authtok_type=  difok=1 minlen=8 ucredit=-1 lcredit=-1 dcredit=-1

    • difok= :此选项用来定义新密码中必须要有几个字符和旧密码不同
    • minlen=:此选项用来设置新密码的最小长度
    • ucredit= :此选项用来设定新密码中可以包含的大写字母的最大数目。-1 至少一个
    • lcredit=:此选项用来设定新密码中可以包含的小写字母的最大数目
    • dcredit=:此选项用来设定新密码中可以包含的数字的最大数目 

    :这个密码强度的设定只对普通用户有限制作用,root用户无论修改自己的密码还是修改普通用户的时候,不符合强度设置依然可以设置成功

    脚本实现对用户密码强度的设定

    #! /bin/bash
    # Author:谢公子
    # Date: 2018-10-12
    # Function: 对用户密码强度的设定,新密码不能和旧密码相同,同时新密码至少8位,还要同时包含大字母、小写字母和数字
    sed -i '/pam_pwquality.so/c\password    requisite     pam_pwquality.so try_first_pass local_users_only retry=3 authtok_type=  difok=1 minlen=8 ucredit=-1 lcredit=-1 dcredit=-1' /etc/pam.d/system-auth
    

    对用户的登录次数进行限制

    有一些攻击性的软件是专门采用暴力破解密码的形式反复进行登录尝试,对于这种情况,我们可以调整用户登录次数限制,使其密码输入3次后自动锁定,并且设置锁定时间,在锁定时间内即使密码输入正确也无法登录

    打开 /etc/pam.d/sshd  文件,在 #%PAM-1.0 的下面,加入下面的内容,表示当密码输入错误达到3次,就锁定用户150秒,如果root用户输入密码错误达到3次,锁定300秒。锁定的意思是即使密码正确了也登录不了

    auth required pam_tally2.so deny=3 unlock_time=150 even_deny_root root_unlock_time300

    当输入3次密码错误时

    pam_tally2   查看被锁定的用户

    pam_tally2  --reset  -u  username      将被锁定的用户解锁

    脚本设置对用户的登录次数做限制

    #! /bin/bash
    # Author:谢公子
    # Date: 2018-10-12
    # Function: 对用户登录输入错误密码次数做限制
    n=`cat /etc/pam.d/sshd | grep "auth required pam_tally2.so "|wc -l`
    if [ $n -eq 0 ];then
    sed -i '/%PAM-1.0/a\auth required pam_tally2.so deny=3 unlock_time=150 even_deny_root root_unlock_time300' /etc/pam.d/sshd
    fi
    

    禁止ROOT用户远程登录

    禁止ROOT用户远程登录 。打开  /etc/ssh/sshd_config  

    脚本设置禁止ROOT用户远程登录

    #! /bin/bash
    # Author:谢公子
    # Date: 2018-10-12
    # Function: 禁止ROOT用户远程登录
    sed -i '/PermitRootLogin/c\PermitRootLogin no'  /etc/ssh/sshd_config

    设置历史命令保存条数和账户超时时间

    设置账户保存历史命令条数,超时时间  。打开  /etc/profile ,修改如下

    使用脚本修改配置文件

    #! /bin/bash
    # Author:谢公子
    # Date: 2018-10-12
    # Function: 修改配置文件,设置历史命令保存条数和账户自动注销时间
    read -p "设置历史命令保存条数:" E
    read -p "设置账户自动注销时间:" F
    sed -i '/^HISTSIZE/c\HISTSIZE='$E'' /etc/profile
    sed -i '/^HISTSIZE/a\TMOUT='$F'' /etc/profile
    

    设置只有指定用户组才能使用su命令切换到root用户

    在linux中,有一个默认的管理组 wheel。在实际生产环境中,即使我们有系统管理员root的权限,也不推荐用root用户登录。一般情况下用普通用户登录就可以了,在需要root权限执行一些操作时,再su登录成为root用户。但是,任何人只要知道了root的密码,就都可以通过su命令来登录为root用户,这无疑为系统带来了安全隐患。所以,将普通用户加入到wheel组,被加入的这个普通用户就成了管理员组内的用户。然后设置只有wheel组内的成员可以使用su命令切换到root用户。

    比如,我们将普通用户xie加入wheel组。   usermod  -G  wheel  xie 

    然后,我们修改配置文件 /etc/pam.d/su  ,将这行的注释给去掉

    然后去 /etc/login.defs 末尾加入   SU_WHEEL_ONLY yes  即可。

    当 tom 用户使用su命令切换到root用户时,会提示拒绝权限

    使用脚本设置配置文件

    #! /bin/bash
    # Author:谢公子
    # Date: 2018-10-12
    # Function: 修改配置文件,使得只有wheel组的用户可以使用 su 权限
    sed -i '/pam_wheel.so use_uid/c\auth            required        pam_wheel.so use_uid ' /etc/pam.d/su
    n=`cat /etc/login.defs | grep SU_WHEEL_ONLY | wc -l`
    if [ $n -eq 0 ];then
    echo SU_WHEEL_ONLY yes >> /etc/login.defs
    fi  
    

    对Linux账户进行管理

    • 使用命令 userdel  -r 用户名  删除不必要的账号
    • 使用命令 passwd -l  用户名  锁定不必要的账号
    • 使用命令 awk -F: '($7=="/bin/bash"){print $1}' /etc/passwd   查看具有登录权限的用户
    • 使用命令 awk -F: '($3==0)' /etc/passwd    查看UID为0的账号,UID为0的用户会自动切换到root用户,所以危害很大
    • 使用命令 awk -F: '($2=="")' /etc/shadow   查看空口令账号,如果存在空口令用户的话必须设置密码 

    使用脚本对账户进行管理

    #! /bin/bash
    # Author:谢公子
    # Date:2018-10-11
    # Function: 对系统中的用户做检查,加固系统
    echo "系统中有登录权限的用户有:"
    awk -F: '($7=="/bin/bash"){print $1}' /etc/passwd
    echo "********************************************"
    echo "系统中UID=0的用户有:"
    awk -F: '($3=="0"){print $1}' /etc/passwd
    echo "********************************************"
    N=`awk -F: '($2==""){print $1}' /etc/shadow|wc -l`
    echo "系统中空密码用户有:$N"
    if [ $N -eq 0 ];then
     echo "恭喜你,系统中无空密码用户!!"
     echo "********************************************"
    else
     i=1
     while [ $N -gt 0 ]
     do
        None=`awk -F: '($2==""){print $1}' /etc/shadow|awk 'NR=='$i'{print}'`
        echo "------------------------"
        echo $None
        echo "必须为空用户设置密码!!"
        passwd $None
        let N--
     done
     M=`awk -F: '($2==""){print $1}' /etc/shadow|wc -l`
     if [ $M -eq 0 ];then
      echo "恭喜,系统中已经没有空密码用户了!"
     else
    echo "系统中还存在空密码用户:$M"
     fi
    fi
    
    

    对重要的文件进行锁定,即使ROOT用户也无法删除

    chattr    改变文件或目录的扩展属性

    lsattr    查看文件目录的扩展属性

    chattr  +i  /etc/passwd /etc/shadow                 //增加属性
    chattr  -i  /etc/passwd /etc/shadow                 //移除属性  
    lsattr  /etc/passwd /etc/shadow

    使用脚本对重要文件进行锁定

    #! /bin/bash
    # Author: 谢公子
    # Date:2018-10-10
    # Function: 锁定创建用户和组的文件,使之无法对用户和组进行操作!
    read -p "警告:此脚本运行后将无法添加删除用户和组!!确定输入Y,取消输入N;Y/N:" i
    case $i in
          [Y,y])
                chattr +i /etc/passwd
                chattr +i /etc/shadow
                chattr +i /etc/group
                chattr +i /etc/gshadow
                echo "锁定成功!"
    ;;
          [N,n])
                chattr -i /etc/passwd
                chattr -i /etc/shadow
                chattr -i /etc/group
                chattr -i /etc/gshadow
                echo "取消锁定成功!!"
    ;;
           *)
                echo "请输入Y/y or  N/n"
    esac
    

    一个脚本对上面所有的合并了

    #! /bin/bash
    # Author:谢公子
    # Date:2018-10-11
    # Function:对账户的密码的一些加固
    read -p  "设置密码最多可多少天不修改:" A
    read -p  "设置密码修改之间最小的天数:" B
    read -p  "设置密码最短的长度:" C
    read -p  "设置密码失效前多少天通知用户:" D
    sed -i '/^PASS_MAX_DAYS/c\PASS_MAX_DAYS   '$A'' /etc/login.defs
    sed -i '/^PASS_MIN_DAYS/c\PASS_MIN_DAYS   '$B'' /etc/login.defs
    sed -i '/^PASS_MIN_LEN/c\PASS_MIN_LEN     '$C'' /etc/login.defs
    sed -i '/^PASS_WARN_AGE/c\PASS_WARN_AGE    '$D'' /etc/login.defs
    
    echo "已对密码进行加固,新用户不得和旧密码相同,且新密码必须同时包含数字、小写字母,大写字母!!"
    sed -i '/pam_pwquality.so/c\password    requisite     pam_pwquality.so try_first_pass local_users_only retry=3 authtok_type=  difok=1 minlen=8 ucredit=-1 lcredit=-1 dcredit=-1' /etc/pam.d/system-auth
    
    echo "已对密码进行加固,如果输入错误密码超过3次,则锁定账户!!"
    n=`cat /etc/pam.d/sshd | grep "auth required pam_tally2.so "|wc -l`
    if [ $n -eq 0 ];then
    sed -i '/%PAM-1.0/a\auth required pam_tally2.so deny=3 unlock_time=150 even_deny_root root_unlock_time300' /etc/pam.d/sshd
    fi
    
    echo  "已设置禁止root用户远程登录!!"
    sed -i '/PermitRootLogin/c\PermitRootLogin no'  /etc/ssh/sshd_config
    
    read -p "设置历史命令保存条数:" E
    read -p "设置账户自动注销时间:" F
    sed -i '/^HISTSIZE/c\HISTSIZE='$E'' /etc/profile
    sed -i '/^HISTSIZE/a\TMOUT='$F'' /etc/profile
    
    echo "已设置只允许wheel组的用户可以使用su命令切换到root用户!"
    sed -i '/pam_wheel.so use_uid/c\auth            required        pam_wheel.so use_uid ' /etc/pam.d/su
    n=`cat /etc/login.defs | grep SU_WHEEL_ONLY | wc -l`
    if [ $n -eq 0 ];then
    echo SU_WHEEL_ONLY yes >> /etc/login.defs
    fi
    
    echo "即将对系统中的账户进行检查...."
    echo "系统中有登录权限的用户有:"
    awk -F: '($7=="/bin/bash"){print $1}' /etc/passwd
    echo "********************************************"
    echo "系统中UID=0的用户有:"
    awk -F: '($3=="0"){print $1}' /etc/passwd
    echo "********************************************"
    N=`awk -F: '($2==""){print $1}' /etc/shadow|wc -l`
    echo "系统中空密码用户有:$N"
    if [ $N -eq 0 ];then
     echo "恭喜你,系统中无空密码用户!!"
     echo "********************************************"
    else
     i=1
     while [ $N -gt 0 ]
     do
        None=`awk -F: '($2==""){print $1}' /etc/shadow|awk 'NR=='$i'{print}'`
        echo "------------------------"
        echo $None
        echo "必须为空用户设置密码!!"
        passwd $None
        let N--
     done
     M=`awk -F: '($2==""){print $1}' /etc/shadow|wc -l`
     if [ $M -eq 0 ];then
      echo "恭喜,系统中已经没有空密码用户了!"
     else
    echo "系统中还存在空密码用户:$M"
     fi
    fi
    
    echo "即将对系统中重要文件进行锁定,锁定后将无法添加删除用户和组"
    read -p "警告:此脚本运行后将无法添加删除用户和组!!确定输入Y,取消输入N;Y/N:" i
    case $i in
          [Y,y])
                chattr +i /etc/passwd
                chattr +i /etc/shadow
                chattr +i /etc/group
                chattr +i /etc/gshadow
                echo "锁定成功!"
    ;;
          [N,n])
                chattr -i /etc/passwd
                chattr -i /etc/shadow
                chattr -i /etc/group
                chattr -i /etc/gshadow
                echo "取消锁定成功!!"
    ;;
           *)
                echo "请输入Y/y or  N/n"
    esac
    

    建立日志服务器

    日志服务器的好处在于,每个工作服务器将自己的日志信息发送给日志服务器进行集中管理,即使有人入侵了服务器并将自己的登录信息悄悄删除,但由于日志信息实时与日志服务器同步,保证了日志的完整性。以备工作人员根据日志服务器信息对服务器安全进行评测。

    客户端的配置:

    打开 /etc/rsyslog.conf 配置文件

    你想把哪种类型的日志文件发送给服务端,你就把他原来的对应的目录改成: @192.168.10.20

    如果你想吧所有的日志文件都发送给服务器的话,你可以在文件最后加上: *.*  @@192.168.10.20:514

    然后重启rsyslog服务: systemctl  restart  rsyslog

    服务器端的配置:

    打开 /etc/rsyslog.conf 配置文件,将这里的注释给去掉

    然后重启rsyslog服务:systemctl  restart  rsyslog

    开启防火墙: firewall-cmd  --add-port=514/tcp

    这样客户端的相应的日志文件就会保存在服务器端的相应的文件中。

     

    展开全文
  • 如何配置服务器安全策略?

    千次阅读 2019-04-11 13:52:06
    如何配置服务器安全策略? 内容摘要:如何配置服务器安全策略?服务器安全策略的核心价值在于保障数据中心服务器的安全性。数据中心是应用虚拟化的基础平台,保证了这个平台的稳定和安全,各种操作才会流畅无阻。...
  • 五类安全服务包括认证(鉴别)服务、访问控制服务、数据保密性服务、数据完整性服务和抗否认性服务。 认证(鉴别)服务:在网络交互过程中,对收发双方的身份及数据来源进行验证。 访问控制服务:防止未授权用户...
  • 什么是安全测试

    千次阅读 热门讨论 2020-10-18 13:47:09
    安全测试的目的,怎么做安全测试,与传统测试的区别
  • 3、 了解Windows平台下MDaemon邮件服务器的安全配置和Linux平台下Sendmail邮件服务器的安全配置; 4、 了解PGP的工作原理和密钥管理方法,能够使用PGP对文件和邮件进行加密和数字签名。二、实验环境及相关情况...
  • 如何保证服务器的安全

    千次阅读 2016-09-17 17:13:52
    笔者之前一个项目时,思考了这个问题。汽车维修公开信息项目大体上就是一个文档有偿下载打印的资源类信息网站。此类网站的价值就在于资源,所以保证资源的安全性便是重中之重了。笔者认为,最好的防御就是进攻,...
  • 前言 什么是服务器安全测试 一.Kali安装
  • 服务器安全设置

    千次阅读 2009-03-25 10:10:00
    第一章 入侵的方法入侵...二、 FTP或WEB服务漏洞,然后通过提升权限等方法进尔得到SYSTEM SHELL。三、 程序和数据库漏洞,可以使用SQL注入,再通过SQL的CMDSHELL来新建用户进尔得到SYSTEM SHELL。四、 系统漏洞或未打
  • 什么是功能安全

    万次阅读 2018-07-06 09:15:33
    什么是功能安全(FS)?在现代工业控制领域中,可编程电子硬件、软件系统的大量使用,大大提升了自动化程度。但由于设备设计中的缺失,以及开发制造中风险管理意识的不足,这些存在设计缺陷的产品大量流入相关行业的...
  • 与边界安全、文件安全、用户行为安全等其他安全问题相同,数据安全并非是唯一一种能提升信息系统安全性的技术手段,也不是一种能全面保障信息系统安全的技术手段。它就是一种能够合理评估及减少由数据存储所带来的...
  • Windows 2016 服务器安全配置

    千次阅读 2019-07-15 16:36:10
    Windows 2016 服务器安全配置 1.系统更新配置 (1)更换Windows更新服务器 如果你觉得默认的Windows更新服务器比较慢,或者如果选择了阿里云或腾讯云服务器的话,可以更换Windows服务器。 右键开始菜单图标,选择...
  • Windows 2008 服务器安全加固

    千次阅读 2018-06-17 14:57:15
    一、服务环境以及所需要的软件都已安装完毕(记住一点所有安全性的操作设置都必须在软件安装完以后才能进行。) 最少的服务+最小的权限=最大的安全 对于服务,不必要的话一定不要装,要知道服务的运行是SYSTEM级的...
  • SpringBoot正确、安全地关闭服务

    万次阅读 2018-10-21 15:20:07
    我们利用远程关闭功能可以实现优雅地关闭指定地服务。 正文 本文依然使用v1.5.8.RELEASE ,讲地是利用actuator的Endpoints实现关闭服务 首先准备一个eureka服务,然后启动他。 然后准备一个eureka客户端服务,...
  • 什么是服务器?服务器是干什么用的?

    万次阅读 多人点赞 2019-03-15 10:07:09
    服务器 摘要: 服务器相信很多电脑爱好者都听过或者...那么很多电脑爱好者经常问的什么是服务器?下面本文将于大家揭开服务器神秘面纱,希望能够给菜鸟朋友增加点电脑知识。 服务器相信很多电脑爱好者都听过或...
  • 十大企业级Linux服务器安全防护要点

    千次阅读 2018-06-22 14:06:05
    随着开源系统Linux的盛行,其在大中型企业的应用也在逐渐普及,很多企业的应用服务都是构筑在其之上,例如Web服务、数据库服务、集群服务等等。因此,Linux的安全性就成为了企业构筑安全应用的一个基础,是重中之重...
  • SpringBoot应用服务启动与安全终止

    万次阅读 2017-03-14 20:42:11
    SpringBoot应用服务启动参照官方示例工程可以快速搭建简单SpringBoot应用,官方连接如下:http://projects.spring.io/spring-boot/#quick-start 闲话少叙,上代码:package hello;import org.springframework.boot....
  • Linux服务器风险检测与安全加固

    万次阅读 2016-03-08 20:36:41
    在虚拟机里面搭建了一套Linux服务器风险检测与安全加固测试环境,然后把以前演示的Web服务放到Linux服务器上面跑着,找好了一些渗透测试工具,模拟进行Linux服务器的风险检测。最后,根据扫描结果列出了几点系统...
  • 云服务器可以用来做什么

    千次阅读 2018-12-27 11:41:09
    要知道云服务器服务是云计算服务的重要服务之一,是面向各类互联网用户提供综合业务能力的服务平台,能为客户提供安全、可靠、高品质的服务,价格方面又更优惠。那么对于云服务器来说日常具体的用途有哪些呢? 云...
  • 服务器的安全设置环节中,必不可少的操作环节是要屏蔽一些危险端口。如果人为的在“控制面板”、“管理工具”、“本地安全设置”中手工设置IPSEC安全策略的话,不仅麻烦,稍有疏忽就容易出错。本篇内容就介绍了利用...
  • 阿里云服务器添加安全组规则

    千次阅读 2019-03-29 17:05:42
    现在,越来越多的开发者或企业使用阿里云服务器,阿里云服务器可以通过安全组规则来对访问进行控制 这里简单介绍安全组配置规则 端口范围:必填项 如果添加一个端口,如 8080 端口, 8080/8080 如果...
  • CentOS7 服务器 安全防范

    千次阅读 2018-06-08 13:07:00
    首先解释一下什么是暴力破解,对于购买过服务器的人可能了解一些暴力破解或称为穷举法,是一种针对于密码的破译方法,即将密码进行逐个推算直到找出真正的密码为止。例如一个已知是四位并且全部由数字组成的密码,其...
  • 本人服务器配置如下 服务器:阿里云ECS主机 2核4G内存5M带宽 操作系统:CentOS 6.9 64位(Linux) ...一夜之间网站权重报废,他娘的,我还是太菜了,服务器裸奔了半年都没想着去做安全防范,真是活该啊我(顺祝...
  • 安全模式是Windows 操作系统中的一种诊断启动模式,用于在操作系统无法正常启动时获取有限的Windows访问权限。正常模式与安全模式相反,它以其典型方式启动Windows。注意:安全模式在macOS上称为安全启动。术语...
  • 什么不推荐大家去做安全测试? 今天,很多软件并没有经过专门的安全测试便运行在互联网上,它们携带着各类安全漏洞直接暴露在公众面前,其中一些漏洞甚至直指软件所承载的核心敏感信息或业务逻辑。这些漏洞一旦被...
  • 一.什么是安全测试

    万次阅读 2019-05-13 16:55:47
    1.安全测试在做什么? 扫描?在很多人眼中,做安全的就是整天那个工具在哪里扫描操作,使用各种不同的工具做扫描。 是的,扫描是安全测试很重要的一部分,扫描可快速有效发现问题。扫描工具的易用性,方便性决定了...

空空如也

空空如也

1 2 3 4 5 ... 20
收藏数 1,034,963
精华内容 413,985
关键字:

安全服务是做什么的