Linux主机登陆加固
Posted mece
tags:
篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了Linux主机登陆加固相关的知识,希望对你有一定的参考价值。
1、严格限制ssh登陆
修改ssh默认监听端口
禁用root登陆,单独设置用于ssh登陆的账号或组;
禁用密码登陆,采用证书登陆;
ListenAddress绑定本机内网ip,即只能ssh连接本机的内网ip进行登陆;
2、对登陆的ip做白名单限制
iptables、/etc/hosts.allow、/etc/hosts.deny
如果当iptables、hosts.allow和hosts.deny三者都设置时或设置出现冲突时,遵循的优先级是hosts.allow > hosts.deny >iptables
a、iptables和hosts.allow设置一致,hosts.deny不设置。如果出现冲突,以hosts.allow设置为主。
cat /etc/sysconfig/iptables
-A INPUT -s 192.168.1.0/24 -m state --state NEW -m tcp -p tcp --dport 22 -j ACCEPT
-A INPUT -s 114.165.77.144 -m state --state NEW -m tcp -p tcp --dport 22 -j ACCEPT
-A INPUT -s 133.110.186.130 -m state --state NEW -m tcp -p tcp --dport 22 -j ACCEPT
cat /etc/hosts.allow
sshd:192.168.1.*,114.165.77.144,133.110.186.130,133.110.186.139:allow(最后的allow可以省略)
b、hosts.allow不设置,iptables和hosts.deny设置(二者出现冲突,以hosts.deny为主)
cat /etc/sysconfig/iptables
-A INPUT -s 192.168.1.0/24 -m state --state NEW -m tcp -p tcp --dport 22 -j ACCEPT
-A INPUT -s 114.165.77.144 -m state --state NEW -m tcp -p tcp --dport 22 -j ACCEPT
-A INPUT -s 133.110.186.130 -m state --state NEW -m tcp -p tcp --dport 22 -j ACCEPT
cat /etc/hosts.deny
sshd:133.110.186.130:deny
c、当iptables、hosts.allow、hosts.deny三者都设置时,遵循的hosts.allow
d、hosts.deny不动,在hosts.allow里面设置deny(表示除了上面的ip之外都被限制登陆了)
sshd:192.168.1.*,114.165.77.144,133.110.186.130,133.110.186.139:allow
sshd:all:deny
3、堡垒机
其他机器做白名单后只能通过堡垒机登陆,将机房服务器的登陆进去的口子收紧
4、严格的sudo控制
5、使用chattr命令锁定服务器上重要信息文件
/etc/passwd、/etc/group、/etc/shadow、/etc/sudoers、/etc/sysconfig/iptables、/var/spool/cron/root等
6、禁ping
echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_all
以上是关于Linux主机登陆加固的主要内容,如果未能解决你的问题,请参考以下文章