注:建議在修改相關配置檔案時,首先對需要修改檔案進行備份。
1、ssh遠端連線
vi /etc/sshd/sshd_config
port 65531
#修改ssh埠,預設22
listenaddress 192.168.1.x
#允許ssh登入的ip位址
permitrootlogin no
#禁止root通過ssh連線)
allowusers [email protected].*
#允許使用者test從ip為192.168.1.*客戶端登陸訪問)
修改完成後重啟ssh服務
service sshd restart
2、使用者認證
在/etc/pam.d/system-aut**件中加入下面兩行:
使用者嘗試登入5次失敗,鎖住這個使用者(faillog -u 《使用者名稱》 -r解鎖)
auth required /lib/security/pam_tally.so onerr=fail no_magic_root
account required /lib/security/pam_tally.so deny=5 no_magic_root reset
3、增強核心及tcp/ip安全
在/etc/sysctl.conf檔案中新增如下內容:
調整如下核心引數,以提高系統防止ip欺騙及dos攻擊的能力:
net.ipv4.ip_forward = 0
#對於lvs,閘道器或vpn伺服器,要設定為1
net.ipv4.conf.all.accept_source_route = 0
#丟棄源路由包
net.ipv4.conf.all.accept_redirects = 0
#禁止接受重定向
net.ipv4.conf.all.rp_filter = 1
對於lvs 後端伺服器,要設定為0
net.ipv4.icmp_echo_ignore_broadcasts = 1
#禁止相應廣播icmp echo 請求
net.ipv4.icmp_echo_ignore_all = 1
#系統關閉ping
net.ipv4.tcp_syncookies = 1
#對tcp syn cookie的保護,防止syn flood攻擊
設定完成後使用執行:sysctl -p
4、口令安全
更改檔案:/etc/login.defs配置預設口令屬性:
pass_max_days 90
#設定密碼過期日期90天
pass_min_days 30
#設定密碼最少更改日期
pass_min_len 10
#設定密碼最小長度
pass_warn_age 7
#設定過期提前警告天數
5、系統引數、屬性設定
修改/etc/profile檔案,加入如下內容:
export tmout=600
#無互動操作10分鐘後退出
histfilesize=5
#定義.bash_history中儲存的命令數
histsize=5
#定義history儲存命令數
7、刪除不必要的系統使用者和組
(先備份檔案/etc/passwd、/etc/shadow)
userdel adm
userdel lp
userdel sync
userdel shutdown
userdel halt
userdel news
userdel pcap
userdel mail
userdel vcsa
userdel uucp
userdel operator
userdel games # 如果不使用x window,則刪除
userdel gopher
userdel ftp #如果不使用ftp服務則刪除
刪除無用組(先備份/etc/group、/etc/gshadow)
groupdel gamer
groupdel pcap
groupdel rpcuser
groupdel vcsa
groupdel smmsp
groupdel mailnull
groupdel lp
groupdel wheel
groupdel mail
groupdel news
8、設定允許登入的機器
在/etc/hosts.allow檔案中新增
sshd:192.168.1.10:allow
#允許192.168.1.10位址登入
sshd:192.168.1.*:allow
#允許192.168.1.*網段位址登入
sshd:all:deny
#禁止9、禁止除root外帳戶使用at/cron
新增root到cron.allow和at.allow,並刪除cron.deny和at.deny
rm -f cron.deny at.deny
echo root > cron.allow
echo root > at.allow
chown root:sys cron.allow at.allow
chmod 400 cron.allow at.allow
10、設定遠端日誌伺服器
/etc/syslog.conf
修改配置:
vi /etc/syslog.conf
. @192.168.1.10
可以將*.替換為實際需要的日誌資訊,如:kern. mail.*等
重啟syslog服務:
service syslog restart
11、修改檔案許可權
修改shadow、group、passwd、gshadow檔案不可改變位
chattr +i /etc/passwd
chattr +i /etc/shadow
chattr +i /etc/group
chattr +i /etc/gshadow
修改指令碼檔案在"/etc/rc.d/init.d"目錄下的許可權,只允許root使用read、write、execute
Linux 系統安全加固
1,變更預設的ssh服務埠,禁止root使用者遠端連線 1 2 3 4 5 6 7 root ljohn cp etc ssh sshd config etc ssh sshd config.bak root ljohn vim etc ssh sshd config port 10022 ssh連...
系統安全加固
系統安全加固 1.密碼策略 修改系統的密碼策略 1 經常修改密碼 2 使用一些特殊的字元和密碼的長度增加 密碼的難度 3 不要隨便告訴他人密碼 2.許可權 ugo 鎖定系統中不必要的系統使用者和組 鎖定下列使用者,鎖定之前備份 etc passwd 和 etc shadow 檔案 禁用無關的組 禁止...
linux系統安全設定加固
描述設定ssh空閒超時退出時間,可降低未授權使用者訪問其他使用者ssh會話的風險 檢查提示 加固建議 clientaliveinterval 600 clientalivecountmax 2 描述 sshd強制使用v2安全協議 檢查提示 加固建議 protocol 2 描述強制使用者不重用最近使用...