linux安全性配置優化
檢查項分類
檢查項名稱
檢查項描述
風險等級
修復建議
服務配置
禁止ssh空密碼使用者登入
禁止ssh空密碼使用者登入
高危在/etc/ssh/sshd_config中取消permitemptypasswords no注釋符號#
身份鑑別
設定密碼失效時間
設定密碼失效時間,強制定期修改密碼,減少密碼被洩漏和猜測風險,使用非密碼登陸方式(如金鑰對)請忽略此項。
高危身份鑑別
設定密碼修改最小間隔時間
設定密碼修改最小間隔時間,限制密碼更改過於頻繁
高危在 /etc/login.defs 中將 pass_min_days 引數設定為7-14之間,建議為7:
pass_min_days 7 需同時執行命令為root使用者設定:
chage --mindays 7 root
服務配置
確保ssh maxauthtries設定為3到6之間
設定較低的max authtrimes引數將降低ssh伺服器被暴力攻擊成功的風險。
高危在/etc/ssh/sshd_config中取消maxauthtries注釋符號#,設定最大密碼嘗試失敗次數3-6,建議為4:
maxauthtries 4
服務配置
sshd強制使用v2安全協議
sshd強制使用v2安全協議
高危編輯 /etc/ssh/sshd_config 檔案以按如下方式設定引數: protocol 2
服務配置
設定ssh空閒超時退出時間
設定ssh空閒超時退出時間,可降低未授權使用者訪問其他使用者ssh會話的風險
高危服務配置
確保ssh loglevel設定為info
確保ssh loglevel設定為info,記錄登入和登出活動
高危編輯 /etc/ssh/sshd_config 檔案以按如下方式設定引數(取消注釋):
loglevel info
檔案許可權
設定使用者許可權配置檔案的許可權
設定使用者許可權配置檔案的許可權
高危執行以下5條命令
chown root:root /etc/passwd /etc/shadow /etc/group /etc/gshadow
chmod 0644 /etc/group
chmod 0644 /etc/passwd
chmod 0400 /etc/shadow
chmod 0400 /etc/gshadow
身份鑑別
確保root是唯一的uid為0的帳戶
除root以外其他uid為0的使用者都應該刪除,或者為其分配新的uid
高危除root以外其他uid為0的使用者(檢視命令cat /etc/passwd | awk -f: '($3 == 0) '|grep -v '^root$' )都應該刪除,或者為其分配新的uid
身份鑑別
檢查密碼長度和密碼是否使用多種字元型別
檢查密碼長度和密碼是否使用多種字元型別
高危入侵防護
增大入侵者**目的位址難度
它將程序的記憶體空間位址隨機化來增大入侵者**目的位址難度,從而降低程序被成功入侵的風險
執行命令:
sysctl -w kernel.randomize_va_space=2
mysql安全性試驗 Mysql安全性測試
一 沒有進行預處理的sql語句 1.連線資料庫 conn mysql connect 127.0.0.1 3306 root 518666 if conn die could not connect mysql error 2.選擇資料庫 mysql select db mysql safe con...
安全性測試
1.url哪些引數可以放進去,哪些不可以放。後面的id 可以隨便改,可以查所有活動。url作處理 後端限制。編輯 時,不應帶有 id,防有人改id編輯其它人的 加密。比如每個使用者金鑰都不一樣,很難破解。2.有些操作自已去資料庫確認,而不靠control層。比如,編輯活動時活動時,活動還沒有開始,但...
執行緒安全性
定義 當多個執行緒訪問某個類時,不管執行環境採用何種呼叫方式或者這些執行緒如何交替執行,並且在主調 中不需要任何額外的同步或者協同,這個類都能表現出正確的行為,那麼就稱這個類是執行緒安全的。主要表現三個方面 atomic cas unsafe.compareandswapint atomiclong...