Linux系统加固

最新推荐文章于 2025-06-03 14:30:07 发布
原创 最新推荐文章于 2025-06-03 14:30:07 发布 · 1.2k 阅读 · 8 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#linux #运维 #服务器

文章详细介绍了Linux系统加固的几个关键方面,包括账号和口令的安全设置,如修改密码策略和限制无用账号;SSH登录安全,如改变SSH端口号和限制root用户远程登录;文件安全,调整umask值确保文件权限;服务安全,修改服务端口避免默认;以及日志安全,开启日志记录用户操作。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

Linux系统加固要从三个方面来考虑

1.账号和口令安全


1.  /etc/login.defs


这个文件定义了/etc/passwd以及/etc/shadow配套的用户限制,这个文件的缺失不会影响系统的使用,但是有些时候,会产生一些情况。(各种提示权限不够)
如果/etc/passwd以及/etc/shadow与/etc/login.defs文件产生了冲突,系统会以/etc/passwd以及/etc/shadow为准,所以这两个文件的优先级较高。

grep -Ev "^#|^$" /etc/login.defs

去掉空格和注释查看该文件。

我们主要修改的就是

1.密码最大有效期                 PASS_MAX_DAYS 
2.密码两次修改间隔最小时间        PASS_MIN_DAYS		
3.密码最小长度                   PASS_MIN_LEN
4.密码过期前n天开始提示           PASS_WARN_AGE

2.  减少多余无用账号,降低安全风险

userdel 用户名 删除账号
passwd -l  锁定账号

3.限制用户进行su

在/etc/pam.d/su中修改
auth required pam_wheel.so group=test
只允许test组用户su

2.SSH登录安全

因为黑客或者管理员大部分都是通过ssh登录到系统,对系统进行操作,所以我们可以在这里做文章

/etc/ssh/sshd_config

我们被登录所以作为服务端,在这里进行修改一些配置

1.改掉sshd的端口号(如果有必要)

2.更改sshd的服务绑定地址   istenAddress 

可以改为跳板机或者堡垒机的ip地址,就只允许跳板机或者堡垒机进行ssh登录

跳板机和堡垒机的区别就是跳板机是服务,堡垒机有硬件设施。

3.修改连接主机时输入密码的时间    LoginGraceTime 1m  

m是分钟,也就是ssh进行连接输入密码时,超过1min就会自动断开

4.是否允许root用户进行远程登录    PermitRootLogin 

5.尝试密码错误的最大次数           MAXAuthTries 3

当ssh连接后输入的密码错误次数超过三次时,会断开ssh的连接,防止对方暴力破解

6.登录安全白名单和黑名单

/etc/hosts.deny  系统登录的黑名单 
设置sshd:ALL  禁止所有用户进行ssh登录
/etc/hosts.allow  系统登录的白名单

建议配置
黑名单禁止所有登录,也就是sshd:ALL
白名单配置只允许登录的ip
sshd:ip

3.文件安全

1.设置umask值

/etc/bashrc  和  /etc/profile

这两个文件中的umask值需要同时修改,避免出现问题

umask值改为027

文件夹初始的权限为777,文件的初始权限为666

而最终生成文件夹和文件的权限是777或者666减去umask值

当umask值改为027时候,文件夹和文件的权限为750和640

1.文件所有者可读可写可执行7                                  
2.与文件所有者同属一个用户组的其他用户可读可执行5           		      
3.其他用户组无权限0                                               

1.文件所有者可读可写6
2.与文件所有者同属一个用户组的其他用户可读可写4
3.其他用户组无权限0

改完后使生效

source /etc/bashrc
source /etc/profile

4.服务安全

一些常用的服务端口可以进行修改,用nmap扫描一下自己系统,看看哪些对外开放,对外开放的端口不使用默认的端口。防止黑客入侵

一般修改的都在服务的配置文件中config

5.日志安全

记得开启日志功能

systemctl start rsyslog.service

记录所有用户登录和操作日志

运行vim /etc/profile打开配置文件。

粘贴以下内容

 history
 USER=`whoami`
 USER_IP=`who -u am i 2>/dev/null| awk '{print $NF}'|sed -e 's/[()]//g'`
 if [ "$USER_IP" = "" ]; then
 USER_IP=`hostname`
 fi
 if [ ! -d /var/log/history ]; then
 mkdir /var/log/history
 chmod 777 /var/log/history
 fi
 if [ ! -d /var/log/history/${LOGNAME} ]; then
 mkdir /var/log/history/${LOGNAME}
 chmod 300 /var/log/history/${LOGNAME}
 fi
 export HISTSIZE=4096
 DT=`date +"%Y%m%d_%H:%M:%S"`
 export HISTFILE="/var/log/history/${LOGNAME}/${USER}@${USER_IP}_$DT"
 chmod 600 /var/log/history/${LOGNAME}/*history* 2>/dev/null

运行source /etc/profile  生效

然后history就可以查看所有用户的操作记录和具体时间

也可以

/var/log/history

进行查看

Linux操作系统加固
悦分享
07-23 1841
如何尽可能地加强Linux的安全性和隐私性?以下列出的所有命令都将需要root特权。以“$”符号开头的单词表示一个变量,不同终端之间可能会有所不同。
一. Linux主机系统加固
m0_64338210的博客
12-07 1227
1. 账号和口令 禁用或删除无用账号 减少系统无用账号,降低安全风险。 操作步骤 1.cat /etc/shadow 查看有多少账户 2.使用命令 userdel <用户名> 删除不必要的账号。 3.使用命令 passwd -l <用户名> 锁定不必要的账号。 4.使用命令 passwd -u <用户名> 解锁必要的账号。 检查特殊账号 检查是否存在空口令和root权限的账号。 操作步骤 查看空口令和root权限账号,确认...
linux安全加固(非常详细)
主宰
06-03 1561
安全加固方案原则。
linux 服务器加固
06-11
最小的权限+最小的服务=最大的安全;操作之前先备份;为避免配置错误无法登录主机,请始终保持有一个终端已用root登录并不退出,在另一个终端中做配置修改。这样即使改错,也不至于因系统无法登录导致永远无法登录或恢复配置。
Linux服务器加固方案
热门推荐
qq_33168577的博客
03-20 1万+
    前言:本人在几家小厂做开发,主Java,因人手问题,前端/安卓/服务器等都有涉猎。这里我结合网上各位大佬的经验和自己收获总结。对Linux服务器安全 和 防火墙的配置 和 服务器加固方案 进行简单的讲解,防止初级黑客的攻击,文章主要是针对小白,和运维新手,写的不好,可能有些出入,欢迎各位大佬指点。        一、适用 Linux 操作系统版本    1.Red Hat     2.ce...
Linux服务器通用安全加固指南
Hacker_LaoYi的博客
12-07 1507
第四行除去了用户 bin 的所有限制。如果再要添加删除用户,需要先取消上面的设置,等用户添加删除完成之后,再执行上面的操作,例如取消只读权限chattr -i /etc/passwd。要激活这些限制,您需要在 /etc/pam.d/login 底部添加下面一行: session required /lib/security/pam_limits.so。小提示:在终端登录的情况下,看不到效果,只有在机器面前,按下键盘上的Ctrl+Alt+del键,才会在/var/log/message里面看到输出日志。
linux系统加固
01-12
### Linux系统加固实践 在数字化转型的背景下,Linux作为服务器操作系统的重要组成部分,其安全性尤为重要。本文将基于给定文件中的具体实践案例,详细介绍Linux系统加固的相关知识点,包括但不限于配置密码策略、...
LINUX系统加固.docx
06-24
Linux系统加固是一个重要的过程,旨在提高系统的安全性,防止未授权访问和恶意攻击。根据《可信计算机评估标准》(TCSEC)或"桔皮书",Linux系统的安全级别通常需要达到B2级别,即"结构化安全保护"。这一级别要求有...
Linux系统加固规范模板.doc
最新发布
06-30
Linux系统加固是针对Linux操作系统安全性能提升的重要措施,它涉及一系列策略和技术的实施,以减少安全漏洞,防止未授权访问和潜在的攻击。本文档以山东省计算中心2025年6月的模板为例,详细阐述了Linux系统加固的多...
Linux系统加固.pdf
08-23
Linux系统加固是信息安全领域中的一项重要工作,旨在提升Linux系统的安全性,以抵御外部威胁和内部误操作的风险。文档中提到的内容重点介绍了如何通过系统密码策略、账号管理、umask值的设置、禁用root账号的SSH远程...
linunx加固脚本限制超级管理员远程登录_Linux安全加固
weixin_39658019的博客
11-03 558
原创:kid合天智汇上次整理了 基于等保三级的win server 2012的加固方案(Windows安全加固)这次是基于等保三级的Linux方案众所周知,Linux有很多版本,就目前我看到的,大部分用的是centos6.5 到7其次是Ubuntu16.5和14等命令及部分文件都有差异,所以方案的具体实施会不同。因此,这里列出的没那么细致,但包含基本的方向。方案分为身份鉴别、访问控制、安全审计、资...
linux操作系统加固配置手册
12-06
linux操作系统加固配置手册,linux系统如何加固
linux操作系统安全加固方法(最全,亲测有效)
07-08
linux操作系统安全加固方法(最全,项目亲测有效)
Linux系统加固指南
广阔天地,大有作为
09-12 793
在当今网络安全威胁日益增长的环境中,确保Linux系统的安全性至关重要。本文将介绍几种常见的Linux加固方案,并提供一个基础的Shell脚本,以帮助用户提升系统安全性。
linux主机系统加固
YUGUOHOU的博客
12-07 2412
账户和口令 禁用或删除无用账户 减少系统无用账户,降低安全风险 用于查看有多少账户(重点) cat /etc/shadow 操作步骤 使用命令userdel <用户名>删除不必要的账号 例如:这里我删除了qq这个账号,可以看出来,我们第一次查看账号的时候在最下面有qq 账号,当我们输入这个命令的时候,再次查看账号,可以发现,qq这个账号已经...
Linux安全加固手册
weixin_34054931的博客
12-06 1933
1 身份鉴别 1.1 密码安全策略 操作系统和数据库系统管理用户身份鉴别信息应具有不易被冒用的特点,口令应有复杂度要求并定期更换。 设置有效的密码策略,防止攻击者破解出密码 1)查看空口令帐号并为弱/空口令帐号设置强密码 # awk -F: '($2 == ""){print $1}' /etc/shadow 可用离线破解、暴力字典破解或者密码网站...
linux系统安全加固方案
完颜振江
04-03 1814
Linux 系统进行安全加固是非常重要的,以确保系统免受恶意攻击和数据泄露。确保系统和安装的软件都及时更新到最新版本,以修复已知的漏洞和安全问题。在Linux系统中,你可以使用不同的命令和工具来定期更新系统和软件。以下是一些常用的命令和案例:这个命令会先更新可用的软件包列表,然后再升级所有已安装的软件包到最新版本。首先使用命令检查可用更新,然后使用命令升级所有可用的软件包。类似地,首先使用命令检查可用更新,然后使用命令升级所有可用的软件包。这个命令会更新所有已安装的Snap软件包到最新版本。
Linux安全加固
qq_58317810的博客
05-04 4377
目录 Linux安全加固——账户管理 Linux安全加固-服务管理 Linux安全加固-权限管理 Linux安全加固——账户管理 1、口令锁定策略 查看配置文件:more /etc/pam.d/password-auth auth required pam_tally2.so deny=5 onerr=fail unlock_time=300 even_deny_root=5 root_unlock_time=600 普通账户五次密码错误,300s后重试。root账户五次密码错误后,300..
linux加固
weixin_30414155的博客
12-05 331
1. 账号和口令 1.1 禁用或删除无用账号 减少系统无用账号,降低安全风险。 操作步骤 使用命令userdel <用户名>删除不必要的账号。 使用命令passwd -l <用户名>锁定不必要的账号。 使用命令passwd -u <用户名>解锁必要的账号。 1.2 检查特殊账号 检查是否存在空口令和root权限的账号。 操作...
Linux系统加固实践代码
12-10
Linux系统中,系统加固是确保系统安全的重要步骤。以下是一些常见的Linux系统加固实践代码和命令: ### 1. 更新系统 首先,确保系统是最新的,以修补已知的安全漏洞。 ```bash sudo apt update && sudo apt upgrade -y ``` ### 2. 禁用不必要的服务 禁用不必要的服务和启动项,以减少攻击面。 ```bash sudo systemctl disable <service_name> sudo systemctl stop <service_name> ``` ### 3. 配置防火墙 使用`ufw`(Uncomplicated Firewall)来配置防火墙规则。 ```bash sudo ufw default deny incoming sudo ufw default allow outgoing sudo ufw allow ssh sudo ufw enable ``` ### 4. 增强SSH安全性 修改SSH配置文件以增强安全性,例如禁用root登录和更改默认端口。 ```bash sudo nano /etc/ssh/sshd_config ``` 在文件中进行以下更改: ```plaintext PermitRootLogin no Port <new_port_number> PasswordAuthentication no ``` 保存并退出文件,然后重启SSH服务: ```bash sudo systemctl restart sshd ``` ### 5. 安装和配置Fail2Ban Fail2Ban可以防止暴力破解攻击。 ```bash sudo apt install fail2ban -y sudo nano /etc/fail2ban/jail.local ``` 在文件中添加以下内容: ```plaintext [sshd] enabled = true port = <new_port_number> filter = sshd logpath = /var/log/auth.log maxretry = 5 bantime = 600 ``` 保存并退出文件,然后重启Fail2Ban服务: ```bash sudo systemctl restart fail2ban ``` ### 6. 启用SELinux或AppArmor 根据发行版不同,启用SELinux或AppArmor以提供额外的安全层。 #### 启用SELinux ```bash sudo setenforce 1 ``` #### 启用AppArmor ```bash sudo systemctl enable apparmor sudo systemctl start apparmor ``` ### 7. 文件系统权限 确保关键文件和目录的权限设置正确。 ```bash sudo chmod -R go-w /etc sudo chmod -R go-rw /var/log ``` ### 8. 定期审计和监控 使用工具如`Lynis`进行系统审计。 ```bash sudo apt install lynis -y sudo lynis audit system ``` ### 9. 日志管理 配置系统日志以确保日志文件的完整性和安全性。 ```bash sudo nano /etc/rsyslog.conf ``` 确保以下行未被注释: ```plaintext $FileCreateMode 0640 $DirCreateMode 0755 $Umask 0022 ``` 保存并退出文件,然后重启rsyslog服务: ```bash sudo systemctl restart rsyslog ``` 通过这些步骤,可以显著提高Linux系统的安全性。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值