文章详情

短信预约-IT技能 免费直播动态提醒

请输入下面的图形验证码

提交验证

短信预约提醒成功

强化Linux安全的10个技能分别是什么

2023-06-06 01:24

关注

这篇文章将为大家详细讲解有关强化Linux安全的10个技能分别是什么,文章内容质量较高,因此小编分享给大家做个参考,希望大家阅读完这篇文章后对相关知识有一定的了解。

1.找出不必要的服务

很明显,服务器上跑的服务,并不是每个都有用的。强烈建议检查并关掉不需要的服务,从而减少风险(多跑一个服务,就可能多几个漏洞)。

查询运行在runlevel 3的服务列表:

[afei@afei ~]# /sbin/chkconfig --list |grep '3:on'关闭指定的服务:[afei@afei ~]# chkconfig ip6tables off

疑问:为什么查询runlevel 3的服务?
Linux系统有7个运行级别(runlevel),分别如下:
runlevel 0:系统停机状态,系统默认运行级别不能设为0,否则不能正常启动;
runlevel 1:单用户工作状态,root权限,用于系统维护,禁止远程登陆;
runlevel 2:多用户状态(没有NFS);
runlevel 3:完全的多用户状态(有NFS),登陆后进入控制台命令行模式。这个运行级别的服务会启动httpd,系统提供web server服务,所以主要查看这个运行级别的服务;
runlevel 4:系统未使用,保留;
runlevel 5:X11控制台,登陆后进入图形GUI模式;
runlevel 6:系统正常关闭并重启,默认运行级别不能设为6,否则不能正常启动;

2.检查监听的网络端口

通过netstat命名能够看到所有已经打开的端口,并且可以看到是哪些程序打开的。如果发现某些是必须要的,建议关掉:

[afei@afei~]# netstat -tulpnActive Internet connections (only servers)Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program nametcp 0 0 0.0.0.0:2181 0.0.0.0:* LISTEN 48983/javatcp 0 0 0.0.0.0:2182 0.0.0.0:* LISTEN 49051/java

3.优化CRON任务

linux的cron可以执行一些定时任务。并且还可以通过/etc/cron.allow 和 /etc/cron.deny 控制哪些用户可以运行JOB,哪位用户禁止运行JOB。例如:

允许用户afei允许JOB,执行如下命令:echo afei >> /etc/cron.allow禁止所有用户访问JOB,执行如下命令:echo ALL >>/etc/cron.deny

4.限制用户使用旧密码

linux用户的旧密码保存在文件/etc/security/opasswd中:

[root@LAPP-V1159 ~]# cat /etc/security/opasswdafei:504:4:$1$MVAi/EpJ$iXXkV5r3Hjc8AaK2b5KyQ/,$1$AbpFPYaD$ZKj12lK6qaYUqgQnEdocd0,$1$POabjmzY$F4Cp6aTwN6RRk1KjZWm8A/,$1$LoHe5GHY$QjkLGqABANpLmlQsRB4WE.检查是否有开启限制使用旧密码,在RHEL / CentOS / Fedora系统中,查看文件:/etc/pam.d/system-auth。在Ubuntu/Debian/Linux Mint系统中,查看文件:/etc/pam.d/common-password,需要下面两行关键内容,其中remember=4,表示不能使用最后4次密码,否则会报错:Password has been already used. Choose another.:auth sufficient pam_unix.so nullok try_first_passpassword sufficient pam_unix.so sha512 shadow nullok try_first_pass use_authtok remember=4

5.检查密码过期

密码的过期属性可以通过如下命令查看:

[root@root ~]# chage -l afeiLast password change : Sep 14, 2018Password expires : Nov 13, 2018Password inactive : neverAccount expires : neverMinimum number of days between password change : 0Maximum number of days between password change : 60Number of days of warning before password expires : 7修改密码的过期属性可以执行如下命令:chage -M 60 -W 7 afei说明:-M 60表示密码最大有效期是60天。-W 7 表示密码还有7天过期时给出告警提醒。

6.检查密码为空的用户

密码为空意味着只要知道用户名就能访问,这非常危险。因为用户与密码信息保存在文件/etc/shadow中,且格式如下:

admin:$6$YTSkre3DLd4SAZ$Jy9piv/gPezhLrLzMMeUleV8F5DNjP:17765:0:99:5:::afei:$6$.vMcyE9ss96$YNk2Q5qiS/SAeGCcyEFsmspkC5dr3OXfnN:17788:0:60:7:::后面的几个数字是密码过期等属性信息,上面已经提及。所以,检查密码为空的用户,只需要执行如下命令即可,如果发现有这样的用户,通过root用户执行passwd username强行修改它的密码:cat /etc/shadow | awk -F: '($2==""){print $1}'

7.锁定&解锁用户

和删除用户账户不一样,这个只是限制用户登录。只需要执行如下密码即可锁定&解锁用户:

[root@root ~]# passwd -l afeiLocking password for user afei.passwd: Success[root@root ~]# passwd -u afeiUnlocking password for user afei.passwd: Success

说明:

参数l表示lock,即锁定用户密码;

参数u表示unlock,即解锁用户密码;

8.关闭IPv6

现在IPv6基本上没有实际使用,所以我们可以关掉它,在文件/etc/sysconfig/network中增加如下两行内容即可:

NETWORKING_IPV6=noIPV6INIT=no

9.复查日志

Linux服务器上很多的行为都会有记录相应的日志,简单列举一些如下,如果有一些非法操作,就能从这些日志中造成蛛丝马迹,例如非法登陆,非法定时任务等:

/var/log/message – Where whole system logs or current activity logs are available./var/log/auth.log – Authentication logs./var/log/kern.log – Kernel logs./var/log/cron.log – Crond logs (cron job)./var/log/maillog – Mail server logs./var/log/boot.log – System boot log./var/log/mysqld.log – MySQL database server log file./var/log/secure – Authentication log./var/log/utmp or /var/log/wtmp : Login records file./var/log/yum.log: Yum log files.

10.保持系统更新

总是让系统更新最新发行的补丁包,因为这些补丁包会修复一些BUG:

sudo apt-get upgradeyum check-updateyum upgrade

关于强化Linux安全的10个技能分别是什么就分享到这里了,希望以上内容可以对大家有一定的帮助,可以学到更多知识。如果觉得文章不错,可以把它分享出去让更多的人看到。

阅读原文内容投诉

免责声明:

① 本站未注明“稿件来源”的信息均来自网络整理。其文字、图片和音视频稿件的所属权归原作者所有。本站收集整理出于非商业性的教育和科研之目的,并不意味着本站赞同其观点或证实其内容的真实性。仅作为临时的测试数据,供内部测试之用。本站并未授权任何人以任何方式主动获取本站任何信息。

② 本站未注明“稿件来源”的临时测试数据将在测试完成后最终做删除处理。有问题或投稿请发送至: 邮箱/279061341@qq.com QQ/279061341

软考中级精品资料免费领

  • 历年真题答案解析
  • 备考技巧名师总结
  • 高频考点精准押题
  • 2024年上半年信息系统项目管理师第二批次真题及答案解析(完整版)

    难度     813人已做
    查看
  • 【考后总结】2024年5月26日信息系统项目管理师第2批次考情分析

    难度     354人已做
    查看
  • 【考后总结】2024年5月25日信息系统项目管理师第1批次考情分析

    难度     318人已做
    查看
  • 2024年上半年软考高项第一、二批次真题考点汇总(完整版)

    难度     435人已做
    查看
  • 2024年上半年系统架构设计师考试综合知识真题

    难度     224人已做
    查看

相关文章

发现更多好内容

猜你喜欢

AI推送时光机
位置:首页-资讯-人工智能
咦!没有更多了?去看看其它编程学习网 内容吧
首页课程
资料下载
问答资讯