一、补丁管理

1、查看系统信息

uname -a

2、配置yun源

CentosOS 可以直接升级

RHEL系列可以配置使用CentosOS源

3、升级软件包

yum –y update

二、安全工具

三、日志审计

1、操作日志系统

2、相关命令

who
last

1

四、内核参数

1、内核参数

vi /etc/sysctl.conf

net.ipv4.icmp_echo_ignore_broadcasts =  #忽略ICMP广播

net.ipv4.icmp_echo_ignore_all =  #忽略ICMP echo请求

net.ipv4.ip_default_ttl =  #修改TTL为128 
#sysctl -p

2、开启syncookies

编辑/etc/sysctl.conf文件

添加

net.ipv4.tcp_syncookies =

net.ipv4.tcp_max_syn_backlog =

net.ipv4.tcp_fin_timeout =

net.ipv4.tcp_synack_retries =

然后运行

sysctl -p

五、网络服务

1、SSH安全配置

    (1)禁止root登录

PermitRootLogin no

  (2)绑定端口、协议和IP地址

Port

Protocol

ListenAddress 192.168.1.1

  (3)允许密码错误次数

MaxAuthTries=

2、配置tcp_wrappers,限制允许远程登陆系统的IP范围

编辑/etc/hosts.deny

添加sshd:ALL

编辑/etc/hosts.allow

添加sshd:192.168.0.0/255.255.255.0

六、账号管理

1、密码文件passwd

cat /etc/passwd

2、密码文件shadow

cat /etc/shadow

3、用户管理

添加/删除组

groupadd、groupdel  

添加/删除用户

useradd、userdel  

锁定/解锁用户

passwd -l、passwd -u

4、空密码用户

(1)禁止root远程登录,只允许特定用户SSH登录

  编辑/etc/ssh/sshd_config,添加

 AllowUsers user1 user2

 PermitRootLogin no

(2)只允许特定的用户组执行su获得root权限

编辑/etc/pam.d/su文件,将一下代码的注释符去掉

#auth required pam_wheel.so use_uid

5、口令强度检查

--retry=N:修改密码时,出现错误的次数

--minlen=N:密码最少字符数

--dcredit=N:至少有N个数字

--ucredit=N:至少有N个大写字符

--lcredit=N:至少有N个小写字符

--ocredit=N:至少有N个其他字符

编辑/etc/pam.d/system-auth

password requisite pam_cracklib.so try_first_pass retry=

6、口令生存周期

vi /etc/login.defs

PASS_MAX_DAYS

PASS_WARN_AGE

7、认证失败后锁定

编辑/etc/pam.d/system-auth文件,在auth required pam_env.so 后面添加

auth required pam_tally.so onerr=fail deny= unlock_time=

8、禁止空密码用户登录

编辑/etc/pam.d/system-auth文件

auth sufficient pam_unix.so nullok try_first_pass

password sufficient pam_unix.so md5 shadow nullok try_first_pass use_authtok

七、文件权限

1、文件权限

ls -l /etc

格式:权限(属主,属组,其他)链接数 属主 属组 大小 最近修改时间 文件名

修改权限和属主:

# chmod u+x,g+w,o+r /tmp/abc

# chown test:test /tmp/abc

2、SetUID

ls -l /bin/ping

(1)设置SetUID

# chmod u+s /tmp/abc

# ls -l /tmp/abc

(2)查找SetUID文件

find / -perm - -type f -print

(3)文件系统属性

lsattr  install.log

根据不同的标志位设置不同的权限

lsattr  列出文件属性
chattr 修改文件属性
chattr +i install.log

3、文件系统属性

文件系统属性

a:即append,设定该参数后,只能向文件中添加数据,而不能删除,多用于服务器日文件安全,只有root才能设定这个属性。

c:即compresse,设定文件是否经压缩后再存储。读取时需要经过自动解压操作。

d:即no dump,设定文件不能成为dump程序的备份目标。

i:设定文件不能被删除、改名、设定链接关系,同时不能写入或新增内容。i参数对于文件系统的安全设置有很大帮助。

j:即journal,设定此参数使得当通过mount参数:data=ordered或data=writeback 挂载的文件系统,文件在写入时会先被记录(在journal中)。如果filesystem被设定参数为data=journal,则该参数自动失效。

s:保密性地删除文件或目录,即硬盘空间被全部收回。

u:与s相反,当设定为u时,数据内容其实还存在磁盘中,可以用于undeletion.

4、完整性检查

(1)md5sum

#cat record.sh

   md5sum /etc/shadow >>md5.txt

   md5sum /bin/ls >>md5.txt

   md5sum /bin/netstat >>md5.txt

#cat md5.txt

   e3faf4e266e8062b62357eb944a718f0  /etc/shadow

   e3faf4e266e8062b62357eb944a718f0  /etc/shadow

   4feb28d49aeb1c51fb827c7733ebf436  /bin/ls

   a3939f9a264880611f2ac7f255e339c6  /bin/netstat

#md5sum -c md5.txt

/etc/shadow: 确定

/etc/shadow: 确定

/bin/ls: 确定

/bin/netstat: 确定

5、设置Bash保留历史命令的条数

vi /etc/profile

HISTSIZE=

HISTFILESIZE=

6、设置登录超时

vi /etc/profile

TMOUT=

7、设置root用户的umask为077

编辑/root/.bash_profil

添加umask

8、防止误使用Ctrl+Alt+Del重启系统

vi /etc/inittab

注释:ca::ctrlaltdel:/sbin/shutdown -r -t  now

111

【应急响应】Linux安全加固的更多相关文章

  1. Windows应急响应和系统加固(2)——Windows应急响应的命令使用和安全检查分析

    Windows应急响应的命令使用和安全检查分析 1.获取IP地址: ·ipconfig /all,获取Windows主机IP地址信息: ·ipconfig /release,释放网络IP位置: ·ip ...

  2. Windwos应急响应和系统加固(1)——Windwos操作系统版本介绍

    Windwos操作系统版本介绍 1. Micorsoft  Windows XP  ·Microsoft官方发布时间以及终止提供服务时间:2001.10.25-2014.4.8   产生漏洞:MS08 ...

  3. Linux安全事件应急响应排查方法总结

    Linux安全事件应急响应排查方法总结 Linux是服务器操作系统中最常用的操作系统,因为其拥有高性能.高扩展性.高安全性,受到了越来越多的运维人员追捧.但是针对Linux服务器操作系统的安全事件也非 ...

  4. Linux应急响应姿势浅谈

    一.前记 无论是甲方还是乙方的同学,应急响应可能都是家常便饭,你可能经常收到如下反馈: 运维同事 --> 服务器上存在可疑进程,系统资源占用高: 网络同事 --> 监控发现某台服务器对外大 ...

  5. 最全Linux应急响应技巧 【转】

    概述 Linux环境下处理应急响应事件往往会更加的棘手,因为相比于Windows,Linux没有像Autorun.procexp这样的应急响应利器,也没有统一的应急响应处理流程.所以,这篇文章将会对L ...

  6. 一些关于Linux入侵应急响应的碎碎念

    近半年做了很多应急响应项目,针对黑客入侵.但疲于没有时间来总结一些常用的东西,寄希望用这篇博文分享一些安全工程师在处理应急响应时常见的套路,因为方面众多可能有些杂碎. 个人认为入侵响应的核心无外乎四个 ...

  7. Linux应急响应入侵排查思路

    0x00 前言 ​ 当企业发生黑客入侵.系统崩溃或其它影响业务正常运行的安全事件时,急需第一时间进行处理,使企业的网络信息系统在最短时间内恢复正常工作,进一步查找入侵来源,还原入侵事故过程,同时给出解 ...

  8. Linux应急响应(四):盖茨木马

    0x00 前言 ​ Linux盖茨木马是一类有着丰富历史,隐藏手法巧妙,网络攻击行为显著的DDoS木马,主要恶意特点是具备了后门程序,DDoS攻击的能力,并且会替换常用的系统文件进行伪装.木马得名于其 ...

  9. Linux应急响应(三):挖矿病毒

    0x00 前言 ​ 随着虚拟货币的疯狂炒作,利用挖矿脚本来实现流量变现,使得挖矿病毒成为不法分子利用最为频繁的攻击方式.新的挖矿攻击展现出了类似蠕虫的行为,并结合了高级攻击技术,以增加对目标服务器感染 ...

  10. Linux应急响应(二):捕捉短连接

    0x00 前言 ​ 短连接(short connnection)是相对于长连接而言的概念,指的是在数据传送过程中,只在需要发送数据时,才去建立一个连接,数据发送完成后,则断开此连接,即每次连接只完成一 ...

随机推荐

  1. markdwon编辑公式入门

    上标与下标   上标和下标分别使用^ 与_ ,例如\(x_i^2\)表示的是:.   默认情况下,上.下标符号仅仅对下一个组起作用.一个组即单个字符或者使用{..} 包裹起来的内容.如果使用\(10^ ...

  2. 函数节流-歪说js

    歪谈js 起因: 夜深人静,月朗星稀.'window.onresize 事件' 与 '浏览器'在大战300回合,console.log('1') 1s 十次,然后就结束了,一个悲伤的故事. 事实证明太 ...

  3. javaweb基础备忘

    Request对象的主要方法有哪些 setAttribute(String name,Object):设置名字为name的request 的参数值 getAttribute(String name): ...

  4. vue.js中使用离线检测

    Html5在window.navigator对象上添加了一个属性onLine 返回布尔值 true表示在线.同时新增了两个事件: window.addEventListener('online', f ...

  5. How to read a paper efficiently - by prof. Pete carr

    DON'T DO THAT: read the article from the beginning to end; it's a waste of time! READ A PAPER IN TWO ...

  6. Docker学习笔记三

    4.Docker数据管理 4.1.数据卷 数据卷是一个可供容器使用的特殊目录,它将主机操作系统目录直接映射进容器,类似与Linux的mount行为. 特性: 数据卷可以在容器之间共事和重用,容器间传递 ...

  7. linux centos7环境下安装apache2.4+php5.6+mysql5.6 安装及踩坑集锦

    linux centos7环境下安装apache2.4+php5.6+mysql5.6 安装及踩坑集锦(一) 一.Linux下安装MySQL 1.下载 下载地址:http://dev.mysql.co ...

  8. LightOJ-1370 Bi-shoe and Phi-shoe (欧拉函数+二分)

    Problem Description Bamboo Pole-vault is a massively popular sport in Xzhiland. And Master Phi-shoe ...

  9. Servlet与idea

    1.idea会为每一个Tomcat部署的项目,独立建一份配置文件. 配置文件所在位置 怎么部署的?使用的第三种部署方式(查看虚拟目录) docBase部署项目存放的路径 项目目录和Tomcat部署目录 ...

  10. JUC-多线程锁

    多线程锁的练习题 1.标准访问,先打印短信还是邮件 class Phone { public synchronized void sendSMS() throws Exception { Thread ...