伺服器加固思路
1.修改root 密碼
passwd root
修改hostname vi /etc/hosts
127.0.0.1 localhost
x.x.x.x test test.com
2.軟體更新至最新狀態
apt-get update
apt-get upgrade
apt-get dist-upgrade
3.建立使用者並設定對應許可權
useradd deploy
mkdir /home/deploy
mkdir /home/deploy/.ssh
chmod 700 /home/deploy.ssh
4.配置使用者主目錄
usermod -s /bin/bash deploy
5.記錄登陸使用者的ssh公鑰,實現免密登陸,並修改修改許可權及所屬
(win10 可使用自帶的ssh工具進行管理)
開啟方式:設定--應用--應用和功能--管理可選功能--新增功能--openssh客戶端
在使用者側生成公鑰,在cmd介面中輸入ssh-keygen生成,生成位置為
c:\users\username\.ssh\id_rsa.pub
將生成的公鑰內容複製到下述路徑中當
vim /home/deploy/.ssh/authorized_keys
修改許可權
chmod 400 /home/deploy/.ssh/authorized_keys
chown deploy:deploy /home/deploy -r
6.修改使用者的密碼 passwd deploy
7.強制ssh金鑰登陸,並關閉密碼登陸
vim /etc/ssh/sshd_config
permitrootlogin no
pubkeyauthentication yes
passwordauthentication no
allowusers [email protected] (前面是登陸的賬號,後面是登陸的使用者)
(183.62.176.59/113.81.232.215/133.139.70.96)
重啟以生效
service ssh restart
9.自動應用安全更新
apt-get install unattended-upgrades
vim /etc/apt/apt.conf.d/10periodic
apt::periodic::update-package-lists "1";
apt::periodic::download-upgradeable-packages "1";
apt::periodic::autocleaninterval "7";
apt::periodic::unattended-upgrade "1";
vim /etc/apt/apt.conf.d/50unattended-upgrades
unattended-upgrade::allowed-origins :$";
"$:$-security";
"$esm:$";
//"$:$-updates";
};unattended-upgrade::mail "[email protected]";
日誌記錄
cat /var/log/unattended-upgrades/unattended-upgrades.log
cat /var/log/unattended-upgrades/unattended-upgrades-dpkg.log
10.防止暴力破解 (fail2ban)
apt-get install fail2ban
apt-get install sendmail
apt-get install mailutils
郵件告警
vi /etc/fail2ban/jail.conf
destemail = [email protected]
mta = mail
maxretry = 3
action = action = %(action_mwl)s
日誌記錄
cat /var/log/fail2ban.log
解鎖被囚禁的ip
fail2ban-client set sshd unbanip x.x.x.x
配置時區資訊
ln -sf /usr/share/zoneinfo/hongkong /etc/localtime
date 確認是否正確
lastlog 所有使用者
last 登陸成功記錄
lastb 登陸失敗記錄
11.二重認證 (google-authenticator) time-based one-time password algorithm
apt-get install libpam-google-authenticator
vi /etc/pam.d/common-auth
找到紅字內容,在紅字內容上新增藍字資訊,並儲存
auth required pam_google_authenticator.so
auth [success=1 default=ignore] pam_unix.so nullok_secure
輸入google-authenticatitor 進行設定
五項內容全選y即可
1.身份令牌基於時間
2.認證檔案位置
3.禁止多使用者使用同樣的認證碼登陸
4.時間擴充套件
5.速度限制,每三十秒不超過3次登陸嘗試
記錄emergency scratch codes,每個只能用一次,用於應急使用
vi /etc/ssh/sshd_config
challengeresponseauthentication yes
12.日誌監視(logwatch)
apt-get install logwatch
apt-get install sendmail
apt-get install mailutils
修改配置
vi /usr/share/logwatch/default.conf/logwatch.conf
mailto = [email protected]
mailer = "mail -t"
修改執行定期任務
vim /etc/cron.daily/00logwatch
/usr/sbin/logwatch --output mail --mailto [email protected] --detail high
增加定時計畫(可以不用新增)
crontab -e
00 15 * * * root test -x /usr/sbin/anacron || ( cd / && run-parts --report /etc/cron.daily )
------------------------------------
參考命令
用 mail 命令可以檢視你有多少郵件未讀
刪除郵件
cat /dev/null > /var/spool/mail/root
禁止系統檢查郵件
echo "unset mailcheck" >> /etc/profile
伺服器檢測裝置埠的狀態
nc -zvu 192.168.1.1 161
nc -zv 192.168.1.1 10050
加固Linux伺服器
眾所周知,網路安全是乙個非常重要的課題,而伺服器是網路安全中最關鍵的環節。linux被認為是乙個比較安全的inter 伺服器,作為一種開放源 作業系統,一旦linux系統中發現有安全漏洞,inter 上來自世界各地的志願者會踴躍修補它。然而,系統管理員往往不能及時地得到資訊並進行更正,這就給黑客以可...
加固Linux伺服器
眾所周知,網路安全是乙個非常重要的課題,而伺服器是網路安全中最關鍵的環節。linux被認為是乙個比較安全的inter 伺服器,作為一種開放源 作業系統,一旦linux系統中發現有安全漏洞,inter 上來自世界各地的志願者會踴躍修補它。然而,系統管理員往往不能及時地得到資訊並進行更正,這就給黑客以可...
Linux伺服器安全加固
一 修改密碼和ssh登入埠,並且盡可能的用金鑰對登入,禁止用密碼登入 主要針對linux 二 修改 etc hosts.allow 設定僅僅允許某幾台去ssh sshd 45.195.修改 etc hosts.deny sshd all in.telnet all 三 把系統中的一些不必要的使用者和...