仓酷云

标题: 来一发Linux平安设置 [打印本页]

作者: 活着的死人 时间: 2015-1-14 20:48
标题: 来一发Linux平安设置
欢迎大家来到仓酷云论坛！用户治理

用户权限

1)限制root

echo"tty1">/etc/securetty
chmod700/root

2)暗码战略

echo"Passwordsexpireevery180days"
perl-npes/PASS_MAX_DAYSs+99999/PASS_MAX_DAYS180/-i/etc/login.defs
echo"Passwordsmayonlybechangedonceaday"
perl-npes/PASS_MIN_DAYSs+0/PASS_MIN_DAYS1/g-i/etc/login.defs

用sha512掩护暗码而不消md5

authconfig--passalgo=sha512--update

3)umask限制
更改umask为077

perl-npes/umasks+0d2/umask077/g-i/etc/bashrc
perl-npes/umasks+0d2/umask077/g-i/etc/csh.cshrc

4)Pam修正

touch/var/log/tallylog

cat<<EOF>/etc/pam.d/system-auth
#%PAM-1.0
#Thisfileisauto-generated.
#Userchangeswillbedestroyedthenexttimeauthconfigisrun.
authrequiredpam_env.so
authsufficientpam_unix.sonulloktry_first_pass
authrequisitepam_succeed_if.souid>=500quiet
authrequiredpam_deny.so
authrequiredpam_tally2.sodeny=3onerr=failunlock_time=60

accountrequiredpam_unix.so
accountsufficientpam_succeed_if.souid<500quiet
accountrequiredpam_permit.so
accountrequiredpam_tally2.soper_user

passwordrequisitepam_cracklib.sotry_first_passretry=3minlen=9lcredit=-2ucredit=-2dcredit=-2ocredit=-2
passwordsufficientpam_unix.sosha512shadownulloktry_first_passuse_authtokremember=10
passwordrequiredpam_deny.so

sessionoptionalpam_keyinit.sorevoke
sessionrequiredpam_limits.so
session[success=1default=ignore]pam_succeed_if.soserviceincrondquietuse_uid
sessionrequiredpam_unix.so
EOF

/var/log/tallylog是二进制日记，记载认证掉败情形。可使用pam_tally2Creset-uusername解锁
5)收受接管闲置用户

echo"Idleuserswillberemovedafter15minutes"
echo"readonlyTMOUT=900">>/etc/profile.d/os-security.sh
echo"readonlyHISTFILE">>/etc/profile.d/os-security.sh
chmod+x/etc/profile.d/os-security.sh

6)cron和at限制

echo"LockingdownCron"
touch/etc/cron.allow
chmod600/etc/cron.allow
awk-F:{print$1}/etc/passwd|grep-vroot>/etc/cron.deny
echo"LockingdownAT"
touch/etc/at.allow
chmod600/etc/at.allow
awk-F:{print$1}/etc/passwd|grep-vroot>/etc/at.deny

删除体系特别的的用户和组

userdelusername
userdeladm
userdellp
userdelsync
userdelshutdown
userdelhalt
userdelnews
userdeluucp
userdeloperator
userdelgames
userdelgopher

以上所删除用户为体系默许创立，然则在经常使用办事器中根本不应用的一些帐号，然则这些帐号常被黑客应用和进击办事器。

groupdelusername
groupdeladm
groupdellp
groupdelnews
groupdeluucp
groupdelgames
groupdeldip

异样，以上删除的是体系装置是默许创立的一些组帐号。如许就削减受进击的机遇。

办事治理

封闭体系不应用的办事

chkconfiglevel35apmdoff
chkconfiglevel35netfsoff
chkconfiglevel35yppasswddoff
chkconfiglevel35ypservoff
chkconfiglevel35dhcpdoff?
chkconfiglevel35portmapoff
chkconfiglevel35lpdoff
chkconfiglevel35nfsoff
chkconfiglevel35sendmailoff
chkconfiglevel35snmpdoff
chkconfiglevel35rstatdoff
chkconfiglevel35atdoff??

按期更新体系

yum-yupdate，可以参加到cronjob。

ssh办事平安

应用证书登录体系，详细不胪陈，请看这篇文章http://www.centos.bz/2012/02/strengthen-ssh-security-login-with-certificate/

LAMP平安

体系文件权限

修正init目次文件履行权限

chmod-R700/etc/init.d/*

修正部门体系文件的SUID和SGID的权限

chmoda-s/usr/bin/chage
chmoda-s/usr/bin/gpasswd
chmoda-s/usr/bin/wall
chmoda-s/usr/bin/chfn
chmoda-s/usr/bin/chsh
chmoda-s/usr/bin/newgrp
chmoda-s/usr/bin/write
chmoda-s/usr/sbin/usernetctl
chmoda-s/usr/sbin/traceroute
chmoda-s/bin/mount
chmoda-s/bin/umount
chmoda-s/bin/ping
chmoda-s/sbin/netreport

修正体系引诱文件

chmod600/etc/grub.conf
chattr+i/etc/grub.conf

日记治理

1、体系引诱日记

dmesg
应用dmesg敕令可以疾速检查最初一次体系引诱的引诱日记。平日它的内容会许多，所以您常常会愿望将其经由过程管道传输到一个浏览器。

2、体系运转日记

A、Linux日记存储在/var/log目次中。
这里有几个由体系保护的日记文件，但其他办事和法式也能够会把它们的日记放在这里。年夜多半日记只要root才可以读，不外只须要修正文件的拜访权限就能够让其别人可读。
以下是经常使用的体系日记文件称号及其描写：
lastlog记载用户最初一次胜利登录时光
loginlog不良的上岸测验考试记载?
messages记载输入到体系主控台和由syslog体系办事法式发生的新闻
utmp记载以后登录的每一个用户
utmpx扩大的utmp
wtmp记载每次用户登录和刊出的汗青信息wtmpx扩大的wtmp
vold.log记载应用内部介质涌现的毛病
xferkig记载Ftp的存取情形sulog记载su敕令的应用情形
acct记载每一个用户应用过的敕令
aculog拨出主动呼唤记载
B、/var/log/messages
messages日记是焦点体系日记文件。它包括了体系启动时的引诱新闻，和体系运转时的其他状况新闻。IO毛病、收集毛病和其他体系毛病都邑记载到这个文件中。其他信息，好比某小我的身份切换为root，也在这里列出。假如办事正在运转，好比DHCP办事器，您可以在messages文件中视察它的运动。平日，/var/log/messages是您在做毛病诊断时起首要检查的文件。
C、/var/log/XFree86.0.log
这个日记记载的是Xfree86Xwindows办事器最初一次履行的成果。假如您在启动到图形形式时碰到了成绩，普通情形从这个文件中会找到掉败的缘由。

收集平安

应用TCP_WRAPPERS

应用TCP_WRAPPERS可使你的体系平安面临内部入侵。最好的战略就是阻拦一切
的主机（在”/etc/hosts.deny”文件中参加”ALL:ALL@ALL,PARANOID”），然后再在”/etc/hosts.allow”文件中参加一切许可拜访的主机列表。
第一步：
编纂hosts.deny文件（vi/etc/hosts.deny），参加上面这行
#Denyaccesstoeveryone.
ALL:ALL@ALL,PARANOID
这注解除非该地址包好在许可拜访的主机列表中，不然壅塞一切的办事和地址。
第二步：
编纂hosts.allow文件（vi/etc/hosts.allow），参加许可拜访的主机列表，比
如：
ftp:202.54.15.99foo.com
202.54.15.99和foo.com是许可拜访ftp办事的ip地址和主机称号。
第三步：
tcpdchk法式是tepdwrapper设置检讨法式。它用来检讨你的tcpwrapper设置，并申报发明的潜伏的和真实的成绩。设置完后，运转上面这个敕令：
[Root@kapil/]#tcpdchk

iptables防火墙应用

这里不多引见，请参考：
1、合适Web办事器的iptables规矩
2、iptables具体教程

欢迎大家来到仓酷云论坛！

作者: 再见西城 时间: 2015-1-16 23:13
标题: 来一发Linux平安设置
熟读Linux系统有关知识，如系统目录树，有关内容可购书阅读或搜索论坛。

作者: 愤怒的大鸟 时间: 2015-1-26 07:57
虽然大家都比较喜欢漂亮的mm，但是在学 linux 的过程中，还是要多和“男人”接触一下：P 遇到问题的时候，出来看说和上网查之外，就是要多用 linux 下的 man 命令找找帮助。

作者: 精灵巫婆 时间: 2015-2-4 20:31
清楚了解网络的基础知识，特别是在Linux下应用知识，如接入internet等等。

作者: 透明 时间: 2015-2-10 08:51
熟悉操作是日常学习Linux中的三大法宝。以下是作者学习Linux的一些个人经验，供参考：

作者: 第二个灵魂 时间: 2015-3-1 10:12
可以说自己收获很大，基本上完成了老师布置的任务，对于拔高的题目没有去做，因为我了解我的水平，没有时间和精力去做。?

作者: 若天明 时间: 2015-3-17 12:33
任何一个叫做操作系统的东西都是这样子构成的：内核+用户界面+一般应用程序。

作者: 仓酷云 时间: 2015-3-24 17:04
直到学习Linux这门课以后，我才知道，原来我错了。?

欢迎光临仓酷云 (http://ckuyun.com/)