linux 无响应_系统加固之Linux安全加固
Linux系統(tǒng)基本操作
文件結(jié)構(gòu)圖及關(guān)鍵文件功能介紹
Linux文件結(jié)構(gòu)
Linux文件結(jié)構(gòu)圖
二級目錄
| 目錄 | 功能 |
| /bin | 放置的是在單人維護(hù)模式下能被操作的指令,在/bin底下的指令可以被root與一般賬號所使用 |
| /boot | 這個(gè)目錄只要在放置開機(jī)會(huì)使用到的文件,包括 Linux核心文件以及開機(jī)選單與開機(jī)所需配置的文件等等 |
| /dev | 在Linux系統(tǒng)上,任何裝置與接口設(shè)備都是以文件的形態(tài)存在于這個(gè)目錄當(dāng)中的 |
| /etc | 系統(tǒng)主要的配置文件幾乎都放在這個(gè)目錄內(nèi),例如人員賬號密碼各種服務(wù)的啟動(dòng)檔,系統(tǒng)變量配置等 |
| /home | 這個(gè)是系統(tǒng)默認(rèn)的用戶家目錄(home directory) |
| /lib | /lib放置的則是在開機(jī)時(shí)會(huì)用到的函式庫,以及在/lib或/sbin底下的指令會(huì)呼叫的函式庫 |
| /media | /media底下放置的是可以移出的裝置,包括軟盤、光盤、DVD等等裝置都掛載于此 |
| /opt | 給第三方協(xié)議軟件放置的目錄 |
| /root | 系統(tǒng)管理員(root)的家目錄 |
| /sbin | 放置/sbin底下的為開機(jī)過程中所需要的,里面包括了開機(jī)、修復(fù)、還原系統(tǒng)所需的指令。 |
| /srv | srv可視為[service]的縮寫,是一些網(wǎng)絡(luò)服務(wù)啟動(dòng)之后,這些服務(wù)所需要取用的數(shù)據(jù)目錄 |
| /tmp | 這是讓一般使用者或是正在執(zhí)行的程序暫時(shí)放置文件的地方 |
文件
賬號和權(quán)限
系統(tǒng)用戶
超級管理員 ? ? ? ?uid=0
系統(tǒng)默認(rèn)用戶???? 系統(tǒng)程序使用,從不登錄
新建普通用戶???? uid大于500
/etc/passwd
/etc/shadow
用戶管理
?
權(quán)限管理
解析文件權(quán)限
文件系統(tǒng)安全
查看權(quán)限:ls -l
修改權(quán)限:
chmod ?
? ? ?? chown
? ? ? ? chgrp
設(shè)置合理的初始文件權(quán)限
很奇妙的UMASK:
umask值為0022所對應(yīng)的默認(rèn)文件和文件夾創(chuàng)建的缺省權(quán)限分別為644和755
文件夾其權(quán)限規(guī)則為:777-022-755
文件其權(quán)限規(guī)則為:777-111-022=644(因?yàn)槲募J(rèn)沒有執(zhí)行權(quán)限)
修改UMASK值:
1、直接在命令行下 umask xxx(重啟后消失)
2、修改/etc/profile中設(shè)定的umask值
系統(tǒng)加固
鎖定系統(tǒng)中多余的自建賬號
檢查shadow中空口令賬號
檢查方法:
加固方法:
使用命令passwd -l ? 鎖定不必要的賬號
使用命令passwd -u 解鎖需要恢復(fù)的賬號
使用命令passwd 為用戶設(shè)置密碼
設(shè)置系統(tǒng)密碼策略
執(zhí)行命令查看密碼策略設(shè)置
加固方法:
禁用root之外的超級用戶
檢測方法:
awk -F ":" '($3=="0"){print $1}' /etc/passwd
加固方法:
? ? ? ? ? ? ?passwd ?-l ?
限制能夠su為root的用戶
查看是否有auth ?required /libsecurity/pam_whell.so這樣的配置條目
加固方法:
? ? ??
重要文件加上不可改變屬性
把重要文件加上不可改變屬性
Umask安全
SSH安全:
禁止root用戶進(jìn)行遠(yuǎn)程登陸
檢查方法:
加固方法:
更改服務(wù)端口:
屏蔽SSH登陸banner信息
僅允許SSH協(xié)議版本2
防止誤使用Ctrl+Alt+Del重啟系統(tǒng)
檢查方法:
加固方法:
設(shè)置賬號鎖定登錄失敗鎖定次數(shù)、鎖定時(shí)間
檢查方法:
? ? ? ? 加固方法:
? ? ? ?解鎖用戶:
修改賬號TMOUT值,設(shè)置自動(dòng)注銷時(shí)間
檢查方法:
cat /etc/profile | grep TMOUT
加固方法:
vim /etc/profile?
增加
TMOUT=600 無操作600秒后自動(dòng)退出
設(shè)置BASH保留歷史命令的條目
?檢查方法:
cat /etc/profile | grep HISTSIZE
加固方法:
vim /etc/profile?
修改HISTSIZE=5即保留最新執(zhí)行的5條命令
設(shè)置注銷時(shí)刪除命令記錄
檢查方法:
cat /etc/skel/.bash_logout ? ?增加如下行
rm -f $HOME/.bash_history
這樣,系統(tǒng)中的所有用戶注銷時(shí)都會(huì)刪除其命令記錄,如果只需要針對某個(gè)特定用戶,,如root用戶進(jìn)行設(shè)置,則可只在該用戶的主目錄下修改/$HOME/.bash_history文件增加相同的一行即可。
設(shè)置系統(tǒng)日志策略配置文件
日志的主要用途是 系統(tǒng)審計(jì) 、監(jiān)測追蹤和分析。為了保證 Linux 系 統(tǒng)正常運(yùn)行、準(zhǔn)確解決遇到的各種樣統(tǒng)問題,認(rèn)真地讀取日志文件是管理員的一項(xiàng)非常重要任務(wù)。
UNIX/ Linux 采用了syslog 工具來實(shí)現(xiàn)此功能,如果配置正確的 話,所有在主機(jī)上發(fā)生的事情都會(huì)被記錄下來不管是好還是壞的 。
?檢查方法:
cat /etc/profile | grep HISTSIZE
確定syslog服務(wù)是否啟用
查看syslogd的配置,并確認(rèn)日志文件是否存在
阻止系統(tǒng)響應(yīng)任何從外部/內(nèi)部來的ping請求
加固方法:
echo 1 >/proc/sys/net/ipv4/icmp_echo_ignore_all?
END
▼更多精彩推薦,請關(guān)注我們▼生活不止眼前的茍且,
還有課本里的詩和到不了的遠(yuǎn)方!
總結(jié)
以上是生活随笔為你收集整理的linux 无响应_系统加固之Linux安全加固的全部內(nèi)容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: polycom安卓手机客户端_安卓新功能
- 下一篇: linux 更改ctime_Linux