Linux 服务器安全加固
Posted
tags:
篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了Linux 服务器安全加固相关的知识,希望对你有一定的参考价值。
一、summary
随着互联网的发展,隐私以及安全被大家看的越来越重视,越来越多的重要交易正在通过网络完成,与此同时数据被损坏、截取和修改的风险也在增加。优秀的系统应当拥有完善的安全措施,应当足够坚固、能够抵抗来自Internet的侵袭,这正是Linux之所以流行并且成为Internet骨干力量的主要原因。但是,如果你不适当地运用Linux的安全工具,它们反而会埋下隐患。配置拙劣的安全系统会产生许多问题。
然而这也是我的薄弱之处,希望以本文告诫自己,时刻加强安全防护意识,不要存任何侥幸心理,中间可能会有遗漏的地方,也希望大家能留言告知,让我们所有运维的兄弟们都可以轻松的了解。
二、 用户帐号安全
2.1 设定密码策略
#!/bin/bash
# Function: 实现对用户密码策略的设定,如密码最长有效期等
read -p "设置密码最多可多少天不修改:" A
read -p "设置密码修改之间最小的天数:" B
read -p "设置密码最短的长度:" C
read -p "设置密码失效前多少天通知用户:" D
sed -i ‘/^PASS_MAX_DAYS/cPASS_MAX_DAYS ‘$A‘‘ /etc/login.defs
sed -i ‘/^PASS_MIN_DAYS/cPASS_MIN_DAYS ‘$B‘‘ /etc/login.defs
sed -i ‘/^PASS_MIN_LEN/cPASS_MIN_LEN ‘$C‘‘ /etc/login.defs
sed -i ‘/^PASS_WARN_AGE/cPASS_WARN_AGE ‘$D‘‘ /etc/login.defs
echo "已设置好密码策略......"
2.2 、对用户密码强度的设定
打开 /etc/pam.d/sysetm-auth
文件 ,修改如下。我们设置新密码不能和旧密码相同,同时新密码至少8位,还要同时包含大字母、小写字母和数字。
password requisite pam_pwquality.so try_first_pass local_users_only retry=3 authtok_type= difok=1 minlen=8 ucredit=-1 lcredit=-1 dcredit=-1
2.3 、对用户的登录次数进行限制
打开/etc/pam.d/sshd
文件,在#%PAM-1.0
的下面,加入下面的内容,表示当密码输入错误达到3次,就锁定用户150秒,如果root用户输入密码错误达到3次,锁定300秒。锁定的意思是即使密码正确了也登录不了。
auth required pam_tally2.so deny=3 unlock_time=150 even_deny_root root_unlock_time300
2.4、禁止ROOT用户远程登录
2.5、设置历史命令保存条数和账户超时时间
#! /bin/bash
read -p "设置历史命令保存条数:" E
read -p "设置账户自动注销时间:" F
sed -i ‘/^HISTSIZE/cHISTSIZE=‘$E‘‘ /etc/profile
sed -i ‘/^HISTSIZE/aTMOUT=‘$F‘‘ /etc/profile
2.6、设置只有指定用户组才能使用su命令切换到root用户
在linux中,有一个默认的管理组 wheel。在实际生产环境中,即使我们有系统管理员root的权限,也不推荐用root用户登录。一般情况下用普通用户登录就可以了,在需要root权限执行一些操作时,再su登录成为root用户。但是,任何人只要知道了root的密码,就都可以通过su命令来登录为root用户,这无疑为系统带来了安全隐患。所以,将普通用户加入到wheel组,被加入的这个普通用户就成了管理员组内的用户。然后设置只有wheel组内的成员可以使用su命令切换到root用户。
#! /bin/bash
# Function: 修改配置文件,使得只有wheel组的用户可以使用 su 权限
sed -i ‘/pam_wheel.so use_uid/cauth required pam_wheel.so use_uid ‘ /etc/pam.d/su
n=`cat /etc/login.defs | grep SU_WHEEL_ONLY | wc -l`
if [ $n -eq 0 ];then
echo SU_WHEEL_ONLY yes >> /etc/login.defs
fi
2.7、对Linux账户进行管理
#! /bin/bash
# Function: 对系统中的用户做检查,加固系统
echo "系统中有登录权限的用户有:"
awk -F: ‘($7=="/bin/bash"){print $1}‘ /etc/passwd
echo "********************************************"
echo "系统中UID=0的用户有:"
awk -F: ‘($3=="0"){print $1}‘ /etc/passwd
echo "********************************************"
N=`awk -F: ‘($2==""){print $1}‘ /etc/shadow|wc -l`
echo "系统中空密码用户有:$N"
if [ $N -eq 0 ];then
echo "恭喜你,系统中无空密码用户!!"
echo "********************************************"
else
i=1
while [ $N -gt 0 ]
do
None=`awk -F: ‘($2==""){print $1}‘ /etc/shadow|awk ‘NR==‘$i‘{print}‘`
echo "------------------------"
echo $None
echo "必须为空用户设置密码!!"
passwd $None
let N--
done
M=`awk -F: ‘($2==""){print $1}‘ /etc/shadow|wc -l`
if [ $M -eq 0 ];then
echo "恭喜,系统中已经没有空密码用户了!"
else
echo "系统中还存在空密码用户:$M"
fi
fi
三、网络服务安全
四、系统设置安全
五、文件系统安全
未完待续。。。。
以上是关于Linux 服务器安全加固的主要内容,如果未能解决你的问题,请参考以下文章