15、Linux安全加固

Linux 安全加固概述

安全加固的意义:
通过安全加固预防和减少潜在的安全问题,增强系统的防护能力,防患于未然。

基线检查:
确保系统的基础安全配置符合相关标准和最佳实践。
参考文档:

加固思路:

  • 身份鉴别
  • 访问控制
  • 安全审计
  • 入侵防范
  • 漏洞补丁管理

身份鉴别加固

1. 删除无用或多余账号:

cat /etc/passwd
cat /etc/shadow
userdel <用户名>

2. 密码策略:

  • 检查空口令:
    awk -F: '($2 == "") {print $1}' /etc/shadow
passwd <用户名>
  • 设置密码有效期:
    编辑 /etc/login.defs 文件:
    PASS_MAX_DAYS 90  # 密码最长有效期
PASS_MIN_DAYS 1   # 密码最短有效期
PASS_MIN_LEN 8    # 密码最小长度
PASS_WARN_AGE 7   # 密码过期前通知时间
  • 增强密码强度:
    编辑 /etc/pam.d/system-auth 文件:
    password requisite pam_cracklib.so retry=3 difok=2 minlen=8 lcredit=-1 dcredit=-1
    参数说明:
    • retry: 密码重试次数
    • difok: 新密码与旧密码最少不同字符数
    • minlen: 密码最小长度
    • lcredit/dcredit/ucredit/ocredit: 大写、小写、数字、特殊字符的最小数量

3. 登录失败策略:
编辑 /etc/pam.d/sshd 文件:

auth required pam_tally2.so deny=3 unlock_time=300 even_deny_root root_unlock_time=1800
  • deny: 最大尝试次数,超过则锁定用户
  • unlock_time: 普通用户解锁时间(秒)
  • root_unlock_time: root 用户解锁时间(秒)
  • 解锁命令:
    pam_tally2 --user=root --reset

访问控制加固

1. 限制访问的 IP:

  • 允许访问的 IP:
    编辑 /etc/hosts.allow
    sshd: 192.168.142.* : allow
sshd: ALL : allow
sshd: 192.168.142.74 : allow
    重启服务:
    service sshd restart
  • 拒绝访问的 IP:
    编辑 /etc/hosts.deny
    sshd: ALL : deny
sshd: 47.106.218.* : deny
sshd: 192.168.142.74 : deny

2. 防范端口扫描:

  • 关闭不必要的服务和端口:
    systemctl list-unit-files | grep enable
systemctl stop <服务名>
systemctl disable <服务名>
  • 修改默认端口号:
    编辑 /etc/ssh/sshd_config 文件,修改 Port 参数。

3. 防火墙策略:
编辑 /etc/sysconfig/iptables(需安装):

-A INPUT -p tcp --tcp-flags ALL FIN,URG,PSH -j REJECT
-A INPUT -p tcp --tcp-flags SYN,RST SYN,RST -j REJECT
-A INPUT -p tcp --tcp-flags SYN,FIN SYN,FIN -j REJECT

4. 控制提权权限:

  • 禁止 root 用户远程登录:
    编辑 /etc/ssh/sshd_config
    PermitRootLogin no
  • 限制 su 提权,仅允许 wheel 组:
    编辑 /etc/pam.d/su
    auth sufficient pam_rootok.so
auth required pam_wheel.so group=wheel
  • 禁止 sudo 提权:
    编辑 /etc/sudoers
    visudo
  • 禁止 SUID 提权:
    find / -user root -perm -4000 -print 2>/dev/null
chmod ugo-s <文件>

安全审计加固

1. 启用 auditd 审计服务:
记录系统活动日志:

  • 审计日志路径:
    /var/log/audit/audit.log
  • 查询日志:
    ausearch -m all

2. 配置审计规则:
参考资料:

漏洞补丁加固

1. 检测并更新系统软件:

yum check-update                # 检查可更新软件
yum info updates                # 查看更新详情
yum update                      # 更新所有软件
yum updateinfo list updates security # 列出安全补丁

2. 更新系统内核:

yum --enablerepo=elrepo-kernel install kernel-lt -y

参考资料:

常见安全产品

1. 产品种类:

  • 主机杀毒
  • 漏洞扫描
  • 防火墙(硬件/软件)
  • 入侵检测(IDS)/入侵防御(IPS)系统
  • WAF(Web 应用防火墙)
  • 态势感知与监控告警
  • 终端安全管理系统(EDR)
  • 抗 DDoS、VPN、蜜罐等

2. 参考:

posted @   感觉小丑  阅读(10)  评论(0编辑  收藏  举报
相关博文:
· 6、Linux操作系统基础知识
· 3、Linux概述
· 16、Linux安全加固
· Linux 操作系统安全加固措施
· Linux操作系统加固
阅读排行:
· 分享4款.NET开源、免费、实用的商城系统
· 全程不用写代码,我用AI程序员写了一个飞机大战
· MongoDB 8.0这个新功能碉堡了,比商业数据库还牛
· 白话解读 Dapr 1.15:你的「微服务管家」又秀新绝活了
· 上周热点回顾(2.24-3.2)
点击右上角即可分享
微信分享提示