.jpg)
這篇文章主要介紹了加固linux系統(tǒng)的三種方法總結(jié)的相關(guān)資料,通過(guò)本文希望大家能掌握這部分內(nèi)容,需要的朋友可以參考下
加固linux系統(tǒng)的三種方法總結(jié)
Linux命令行歷史加固
通過(guò)配置系統(tǒng)環(huán)境變量實(shí)現(xiàn)記錄用戶在命令行執(zhí)行的命令。
vim?/etc/profile.d/system_monitor.sh #?添加下面代碼 export?TMOUT=600 readonly?TMOUT #history USER_IP=`who?-u?am?i?2>/dev/null?|?awk?'{print?$NF}'?|?sed?-e?'s/[()]//g'` HISTDIR=/usr/share/.history if?[?-z?$USER_IP?];?then USER_IP=`hostname` fi if?[?!?-d?$HISTDIR?];?then mkdir?-p?$HISTDIR chmod?777?$HISTDIR fi if?[?!?-d?$HISTDIR/${LOGNAME}?];?then mkdir?-p?$HISTDIR/${LOGNAME} chmod?300?$HISTDIR/${LOGNAME} fi export?HISTSIZE=4000 DT=`date?+%Y%m%d_%H%M%S` export?HISTFILE="$HISTDIR/${LOGNAME}/${USER_IP}.history.$DT" export?HISTTIMEFORMAT="[%Y.%m.%d?%H:%M:%S]" chmod?600?$HISTFILE/${LOGNAME}/*.history*?2>/dev/null
重新加載環(huán)境變量
source?/etc/profile.d/system_monitor.sh
效果:每個(gè)帳號(hào)每次的登錄IP以及運(yùn)行命令都會(huì)記錄在該目錄如下:
[root@localhost?~]#?ll?/usr/share/.history/root/ total?8 -rw-------.?1?root?root?236?Apr?23?21:49?1.180.212.137.history.20170423_214918 -rw-------.?1?root?root?564?Apr?23?21:54?1.180.212.137.history.20170423_214957
crond調(diào)用黑白名單
Cron有它自己內(nèi)建的特性,這特性允許定義哪些人能哪些人不能跑任務(wù)。 這是通過(guò)兩個(gè)文件/etc/cron.allow 和 /etc/cron.deny控制的。要鎖定在用Cron的用戶時(shí)可以簡(jiǎn)單的將其名字寫(xiě)到corn.deny里,而要允許用戶跑cron時(shí)將其名字加到cron.allow即可。如果你要禁止所有用戶,僅允許root用戶。如下:
#?echo?'root'?>>?/etc/cron.allow #?echo?'ALL'?>>?/etc/cron.deny
ssh服務(wù)禁止root登錄
1、不要使用默認(rèn)端口,修改方式;
Port?3714
2、不要使用第一版協(xié)議;
Protocol?2
3、限制可登錄的用戶;
AllowUsers?user1?user2?#僅允許user1和user2用戶登錄
4、設(shè)定空閑會(huì)話超時(shí)時(shí)長(zhǎng);
5、利用防火墻設(shè)置ssh的遠(yuǎn)程訪問(wèn)策略;僅允許來(lái)自于指定網(wǎng)絡(luò)中的主機(jī)訪問(wèn);
6、僅監(jiān)聽(tīng)于指定的IP地址;
ListenAddress
7、基于口令認(rèn)證時(shí),要使用強(qiáng)密碼策略;
#?使用mkpasswd命令生成密碼; mkpasswd?-l?15?-s?3?-d?3?-C?3
8、最后使用基于密鑰進(jìn)行認(rèn)證
9、禁止使用空密碼,默認(rèn)啟用;
PermitEmptyPasswords?no:是否允許空密碼登錄;
10、禁止管理員直接登錄;
PermitRootLogin?yes?#?是否允許管理員直接登錄;安全起見(jiàn),建議為no;
11、限制ssh訪問(wèn)頻度和并發(fā)在線;
12、做好日志分析;
.png)
