linux 无响应_系统加固之Linux安全加固
Linux系統基本操作
文件結構圖及關鍵文件功能介紹
Linux文件結構
Linux文件結構圖
二級目錄
| 目錄 | 功能 |
| /bin | 放置的是在單人維護模式下能被操作的指令,在/bin底下的指令可以被root與一般賬號所使用 |
| /boot | 這個目錄只要在放置開機會使用到的文件,包括 Linux核心文件以及開機選單與開機所需配置的文件等等 |
| /dev | 在Linux系統上,任何裝置與接口設備都是以文件的形態存在于這個目錄當中的 |
| /etc | 系統主要的配置文件幾乎都放在這個目錄內,例如人員賬號密碼各種服務的啟動檔,系統變量配置等 |
| /home | 這個是系統默認的用戶家目錄(home directory) |
| /lib | /lib放置的則是在開機時會用到的函式庫,以及在/lib或/sbin底下的指令會呼叫的函式庫 |
| /media | /media底下放置的是可以移出的裝置,包括軟盤、光盤、DVD等等裝置都掛載于此 |
| /opt | 給第三方協議軟件放置的目錄 |
| /root | 系統管理員(root)的家目錄 |
| /sbin | 放置/sbin底下的為開機過程中所需要的,里面包括了開機、修復、還原系統所需的指令。 |
| /srv | srv可視為[service]的縮寫,是一些網絡服務啟動之后,這些服務所需要取用的數據目錄 |
| /tmp | 這是讓一般使用者或是正在執行的程序暫時放置文件的地方 |
文件
賬號和權限
系統用戶
超級管理員 ? ? ? ?uid=0
系統默認用戶???? 系統程序使用,從不登錄
新建普通用戶???? uid大于500
/etc/passwd
/etc/shadow
用戶管理
?
權限管理
解析文件權限
文件系統安全
查看權限:ls -l
修改權限:
chmod ?
? ? ?? chown
? ? ? ? chgrp
設置合理的初始文件權限
很奇妙的UMASK:
umask值為0022所對應的默認文件和文件夾創建的缺省權限分別為644和755
文件夾其權限規則為:777-022-755
文件其權限規則為:777-111-022=644(因為文件默認沒有執行權限)
修改UMASK值:
1、直接在命令行下 umask xxx(重啟后消失)
2、修改/etc/profile中設定的umask值
系統加固
鎖定系統中多余的自建賬號
檢查shadow中空口令賬號
檢查方法:
加固方法:
使用命令passwd -l ? 鎖定不必要的賬號
使用命令passwd -u 解鎖需要恢復的賬號
使用命令passwd 為用戶設置密碼
設置系統密碼策略
執行命令查看密碼策略設置
加固方法:
禁用root之外的超級用戶
檢測方法:
awk -F ":" '($3=="0"){print $1}' /etc/passwd
加固方法:
? ? ? ? ? ? ?passwd ?-l ?
限制能夠su為root的用戶
查看是否有auth ?required /libsecurity/pam_whell.so這樣的配置條目
加固方法:
? ? ??
重要文件加上不可改變屬性
把重要文件加上不可改變屬性
Umask安全
SSH安全:
禁止root用戶進行遠程登陸
檢查方法:
加固方法:
更改服務端口:
屏蔽SSH登陸banner信息
僅允許SSH協議版本2
防止誤使用Ctrl+Alt+Del重啟系統
檢查方法:
加固方法:
設置賬號鎖定登錄失敗鎖定次數、鎖定時間
檢查方法:
? ? ? ? 加固方法:
? ? ? ?解鎖用戶:
修改賬號TMOUT值,設置自動注銷時間
檢查方法:
cat /etc/profile | grep TMOUT
加固方法:
vim /etc/profile?
增加
TMOUT=600 無操作600秒后自動退出
設置BASH保留歷史命令的條目
?檢查方法:
cat /etc/profile | grep HISTSIZE
加固方法:
vim /etc/profile?
修改HISTSIZE=5即保留最新執行的5條命令
設置注銷時刪除命令記錄
檢查方法:
cat /etc/skel/.bash_logout ? ?增加如下行
rm -f $HOME/.bash_history
這樣,系統中的所有用戶注銷時都會刪除其命令記錄,如果只需要針對某個特定用戶,,如root用戶進行設置,則可只在該用戶的主目錄下修改/$HOME/.bash_history文件增加相同的一行即可。
設置系統日志策略配置文件
日志的主要用途是 系統審計 、監測追蹤和分析。為了保證 Linux 系 統正常運行、準確解決遇到的各種樣統問題,認真地讀取日志文件是管理員的一項非常重要任務。
UNIX/ Linux 采用了syslog 工具來實現此功能,如果配置正確的 話,所有在主機上發生的事情都會被記錄下來不管是好還是壞的 。
?檢查方法:
cat /etc/profile | grep HISTSIZE
確定syslog服務是否啟用
查看syslogd的配置,并確認日志文件是否存在
阻止系統響應任何從外部/內部來的ping請求
加固方法:
echo 1 >/proc/sys/net/ipv4/icmp_echo_ignore_all?
END
▼更多精彩推薦,請關注我們▼生活不止眼前的茍且,
還有課本里的詩和到不了的遠方!
總結
以上是生活随笔為你收集整理的linux 无响应_系统加固之Linux安全加固的全部內容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: polycom安卓手机客户端_安卓新功能
- 下一篇: python open方法下file模块