溫馨提示×

您好,登錄后才能下訂單哦!

密碼登錄×
登錄注冊(cè)×
其他方式登錄
點(diǎn)擊 登錄注冊(cè) 即表示同意《億速云用戶服務(wù)條款》

強(qiáng)化Linux安全的10個(gè)技能分別是什么

發(fā)布時(shí)間:2021-11-03 17:53:43 來源:億速云 閱讀:132 作者:柒染 欄目:建站服務(wù)器

這篇文章將為大家詳細(xì)講解有關(guān)強(qiáng)化Linux安全的10個(gè)技能分別是什么,文章內(nèi)容質(zhì)量較高,因此小編分享給大家做個(gè)參考,希望大家閱讀完這篇文章后對(duì)相關(guān)知識(shí)有一定的了解。

1.找出不必要的服務(wù)

很明顯,服務(wù)器上跑的服務(wù),并不是每個(gè)都有用的。強(qiáng)烈建議檢查并關(guān)掉不需要的服務(wù),從而減少風(fēng)險(xiǎn)(多跑一個(gè)服務(wù),就可能多幾個(gè)漏洞)。

查詢運(yùn)行在runlevel 3的服務(wù)列表:

[afei@afei ~]# /sbin/chkconfig --list |grep '3:on'
關(guān)閉指定的服務(wù):
[afei@afei ~]# chkconfig ip6tables off

疑問:為什么查詢r(jià)unlevel 3的服務(wù)?
Linux系統(tǒng) 有7個(gè)運(yùn)行級(jí)別(runlevel),分別如下:
runlevel 0:系統(tǒng)停機(jī)狀態(tài),系統(tǒng)默認(rèn)運(yùn)行級(jí)別不能設(shè)為0,否則不能正常啟動(dòng);
runlevel 1:?jiǎn)斡脩艄ぷ鳡顟B(tài),root權(quán)限,用于系統(tǒng)維護(hù),禁止遠(yuǎn)程登陸;
runlevel 2:多用戶狀態(tài)(沒有NFS);
runlevel 3:完全的多用戶狀態(tài)(有NFS),登陸后進(jìn)入控制臺(tái)命令行模式。這個(gè)運(yùn)行級(jí)別的服務(wù)會(huì)啟動(dòng)httpd,系統(tǒng)提供web server服務(wù),所以主要查看這個(gè)運(yùn)行級(jí)別的服務(wù);
runlevel 4:系統(tǒng)未使用,保留;
runlevel 5:X11控制臺(tái),登陸后進(jìn)入圖形GUI模式;
runlevel 6:系統(tǒng)正常關(guān)閉并重啟,默認(rèn)運(yùn)行級(jí)別不能設(shè)為6,否則不能正常啟動(dòng);

2.檢查監(jiān)聽的網(wǎng)絡(luò)端口

通過netstat命名能夠看到所有已經(jīng)打開的端口,并且可以看到是哪些程序打開的。如果發(fā)現(xiàn)某些是必須要的,建議關(guān)掉:

[afei@afei~]# netstat -tulpn
Active Internet connections (only servers)
Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program name
tcp 0 0 0.0.0.0:2181 0.0.0.0:* LISTEN 48983/java
tcp 0 0 0.0.0.0:2182 0.0.0.0:* LISTEN 49051/java

3.優(yōu)化CRON任務(wù)

linux 的cron可以執(zhí)行一些定時(shí)任務(wù)。并且還可以通過/etc/cron.allow 和 /etc/cron.deny 控制哪些用戶可以運(yùn)行JOB,哪位用戶禁止運(yùn)行JOB。例如:

允許用戶afei允許JOB,執(zhí)行如下命令:
echo afei >> /etc/cron.allow
禁止所有用戶訪問JOB,執(zhí)行如下命令:
echo ALL >>/etc/cron.deny

4.限制用戶使用舊密碼

linux用戶的舊密碼保存在文件/etc/security/opasswd中:

[root@LAPP-V1159 ~]# cat /etc/security/opasswd
afei:504:4:$1$MVAi/EpJ$iXXkV5r3Hjc8AaK2b5KyQ/,$1$AbpFPYaD$ZKj12lK6qaYUqgQnEdocd0,$1$POabjmzY$F4Cp6aTwN6RRk1KjZWm8A/,$1$LoHe5GHY$QjkLGqABANpLmlQsRB4WE.
檢查是否有開啟限制使用舊密碼,在RHEL / CentOS / Fedora系統(tǒng)中,查看文件:/etc/pam.d/system-auth。在Ubuntu/Debian/Linux Mint系統(tǒng)中,查看文件:/etc/pam.d/common-password,需要下面兩行關(guān)鍵內(nèi)容,其中remember=4,表示不能使用最后4次密碼,否則會(huì)報(bào)錯(cuò):Password has been already used. Choose another.:
auth sufficient pam_unix.so nullok try_first_pass
password sufficient pam_unix.so sha512 shadow nullok try_first_pass use_authtok remember=4

5.檢查密碼過期

密碼的過期屬性可以通過如下命令查看:

[root@root ~]# chage -l afei
Last password change : Sep 14, 2018
Password expires : Nov 13, 2018
Password inactive : never
Account expires : never
Minimum number of days between password change : 0
Maximum number of days between password change : 60
Number of days of warning before password expires : 7
修改密碼的過期屬性可以執(zhí)行如下命令:
chage -M 60 -W 7 afei
說明:
-M 60表示密碼最大有效期是60天。
-W 7 表示密碼還有7天過期時(shí)給出告警提醒。

6.檢查密碼為空的用戶

密碼為空意味著只要知道用戶名就能訪問,這非常危險(xiǎn)。因?yàn)橛脩襞c密碼信息保存在文件/etc/shadow中,且格式如下:

admin:$6$YTSkre3DLd4SAZ$Jy9piv/gPezhLrLzMMeUleV8F5DNjP:17765:0:99:5:::
afei:$6$.vMcyE9ss96$YNk2Q5qiS/SAeGCcyEFsmspkC5dr3OXfnN:17788:0:60:7:::
后面的幾個(gè)數(shù)字是密碼過期等屬性信息,上面已經(jīng)提及。
所以,檢查密碼為空的用戶,只需要執(zhí)行如下命令即可,如果發(fā)現(xiàn)有這樣的用戶,通過root用戶執(zhí)行passwd username強(qiáng)行修改它的密碼:
cat /etc/shadow | awk -F: '($2==""){print $1}'

7.鎖定&解鎖用戶

和刪除用戶賬戶不一樣,這個(gè)只是限制用戶登錄。只需要執(zhí)行如下密碼即可鎖定&解鎖用戶:

[root@root ~]# passwd -l afei
Locking password for user afei.
passwd: Success
[root@root ~]# passwd -u afei
Unlocking password for user afei.
passwd: Success

說明:

參數(shù)l表示lock,即鎖定用戶密碼;

參數(shù)u表示unlock,即解鎖用戶密碼;

8.關(guān)閉IPv6

現(xiàn)在IPv6基本上沒有實(shí)際使用,所以我們可以關(guān)掉它,在文件/etc/sysconfig/network中增加如下兩行內(nèi)容即可:

NETWORKING_IPV6=no
IPV6INIT=no

9.復(fù)查日志

Linux服務(wù)器上很多的行為都會(huì)有記錄相應(yīng)的日志,簡(jiǎn)單列舉一些如下,如果有一些非法操作,就能從這些日志中造成蛛絲馬跡,例如非法登陸,非法定時(shí)任務(wù)等:

/var/log/message – Where whole system logs or current activity logs are available.
/var/log/auth.log – Authentication logs.
/var/log/kern.log – Kernel logs.
/var/log/cron.log – Crond logs (cron job).
/var/log/maillog – Mail server logs.
/var/log/boot.log – System boot log.
/var/log/mysqld.log – MySQL database server log file.
/var/log/secure – Authentication log.
/var/log/utmp or /var/log/wtmp : Login records file.
/var/log/yum.log: Yum log files.

10.保持系統(tǒng)更新

總是讓系統(tǒng)更新最新發(fā)行的補(bǔ)丁包,因?yàn)檫@些補(bǔ)丁包會(huì)修復(fù)一些BUG:

sudo apt-get upgrade
yum check-update
yum upgrade

關(guān)于強(qiáng)化Linux安全的10個(gè)技能分別是什么就分享到這里了,希望以上內(nèi)容可以對(duì)大家有一定的幫助,可以學(xué)到更多知識(shí)。如果覺得文章不錯(cuò),可以把它分享出去讓更多的人看到。

向AI問一下細(xì)節(jié)

免責(zé)聲明:本站發(fā)布的內(nèi)容(圖片、視頻和文字)以原創(chuàng)、轉(zhuǎn)載和分享為主,文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng),如果涉及侵權(quán)請(qǐng)聯(lián)系站長(zhǎng)郵箱:is@yisu.com進(jìn)行舉報(bào),并提供相關(guān)證據(jù),一經(jīng)查實(shí),將立刻刪除涉嫌侵權(quán)內(nèi)容。

AI