[CentOS,LISTEN,运行级别,NFS,Debian]强化Linux安全的10个技能-阿里云开发者社区

开发者社区> dasein58> 正文

[CentOS,LISTEN,运行级别,NFS,Debian]强化Linux安全的10个技能

简介:   1.找出不必要的服务   很明显,服务器上跑的服务,并不是每个都有用的。强烈建议检查并关掉不需要的服务,从而减少风险(多跑一个服务,就可能多几个漏洞)。   查询运行在runlevel 3的服务列表:   [afei@afei ~]# /sbin/chkconfig --list |grep '3:on'
+关注继续查看

  1.找出不必要的服务

  很明显,服务器上跑的服务,并不是每个都有用的。强烈建议检查并关掉不需要的服务,从而减少风险(多跑一个服务,就可能多几个漏洞)。

  查询运行在runlevel 3的服务列表:

  [afei@afei ~]# /sbin/chkconfig --list |grep '3:on'

  关闭指定的服务:

  [afei@afei ~]# chkconfig ip6tables off

  疑问:为什么查询runlevel 3的服务?

  Linux系统有7个运行级别(runlevel),分别如下:

  runlevel 0:系统停机状态,系统默认运行级别不能设为0,否则不能正常启动;

  runlevel 1:单用户工作状态,root权限,用于系统维护,禁止远程登陆;

  runlevel 2:多用户状态(没有NFS);

  runlevel 3:完全的多用户状态(有NFS),登陆后进入控制台命令行模式。这个运行级别的服务会启动httpd,系统提供web server服务,所以主要查看这个运行级别的服务;

  runlevel 4:系统未使用,保留;

  runlevel 5:X11控制台,登陆后进入图形GUI模式;

  runlevel 6:系统正常关闭并重启,默认运行级别不能设为6,否则不能正常启动;

  2.检查监听的网络端口

  通过netstat命名能够看到所有已经打开的端口,并且可以看到是哪些程序打开的。如果发现某些是必须要的,建议关掉:

  [afei@afei~]# netstat -tulpn

  Active Internet connections (only servers)

  Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program name

  tcp 0 0 0.0.0.0:2181 0.0.0.0:* LISTEN 48983/java

  tcp 0 0 0.0.0.0:2182 0.0.0.0:* LISTEN 49051/java

  3.优化CRON任务

  linux的cron可以执行一些定时任务。并且还可以通过/etc/cron.allow 和 /etc/cron.deny 控制哪些用户可以运行JOB,哪位用户禁止运行JOB。例如:

  允许用户afei允许JOB,执行如下命令:

  echo afei >> /etc/cron.allow

  禁止所有用户访问JOB,执行如下命令:

  echo ALL >>/etc/cron.deny

  4.限制用户使用旧密码

  linux用户的旧密码保存在文件/etc/security/opasswd中:

  [root@LAPP-V1159 ~]# cat /etc/security/opasswd

  afei:504:4:$1$MVAi/EpJ$iXXkV5r3Hjc8AaK2b5KyQ/,$1$AbpFPYaD$ZKj12lK6qaYUqgQnEdocd0,$1$POabjmzY$F4Cp6aTwN6RRk1KjZWm8A/,$1$LoHe5GHY$QjkLGqABANpLmlQsRB4WE.

  检查是否有开启限制使用旧密码,在RHEL / CentOS / Fedora系统中,查看文件:/etc/pam.d/system-auth。在Ubuntu/Debian/Linux Mint系统中,查看文件:/etc/pam.d/common-password,需要下面两行关键内容,其中remember=4,表示不能使用最后4次密码,否则买二手域名平台会报错:Password has been already used. Choose another.:

  auth sufficient pam_unix.so nullok try_first_pass

  password sufficient pam_unix.so sha512 shadow nullok try_first_pass use_authtok remember=4

  5.检查密码过期

  密码的过期属性可以通过如下命令查看:

  [root@root ~]# chage -l afei

  Last password change : Sep 14, 2021

  Password expires : Nov 13, 2021

  Password inactive : never

  Account expires : never

  Minimum number of days between password change : 0

  Maximum number of days between password change : 60

  Number of days of warning before password expires : 7

  修改密码的过期属性可以执行如下命令:

  chage -M 60 -W 7 afei

  说明:

  -M 60表示密码最大有效期是60天。

  -W 7 表示密码还有7天过期时给出告警提醒。

  6.检查密码为空的用户

  密码为空意味着只要知道用户名就能访问,这非常危险。因为用户与密码信息保存在文件/etc/shadow中,且格式如下:

  admin:$6$YTSkre3DLd4SAZ$Jy9piv/gPezhLrLzMMeUleV8F5DNjP:17765:0:99:5:::

  afei:$6$.vMcyE9ss96$YNk2Q5qiS/SAeGCcyEFsmspkC5dr3OXfnN:17788:0:60:7:::

  后面的几个数字是密码过期等属性信息,上面已经提及。

  所以,检查密码为空的用户,只需要执行如下命令即可,如果发现有这样的用户,通过root用户执行passwd username强行修改它的密码:

  cat /etc/shadow | awk -F: '($2==""){print $1}'

  7.锁定&解锁用户

  和删除用户账户不一样,这个只是限制用户登录。只需要执行如下密码即可锁定&解锁用户:

  [root@root ~]# passwd -l afei

  Locking password for user afei.

  passwd: Success

  [root@root ~]# passwd -u afei

  Unlocking password for user afei.

  passwd: Success

  说明:

  参数l表示lock,即锁定用户密码;

  参数u表示unlock,即解锁用户密码;

  8.关闭IPv6

  现在IPv6基本上没有实际使用,所以我们可以关掉它,在文件/etc/sysconfig/network中增加如下两行内容即可:

  NETWORKING_IPV6=no

  IPV6INIT=no

  9.复查日志

  Linux服务器上很多的行为都会有记录相应的日志,简单列举一些如下,如果有一些非法操作,就能从这些日志中造成蛛丝马迹,例如非法登陆,非法定时任务等:

  /var/log/message – Where whole system logs or current activity logs are available.

  /var/log/auth.log – Authentication logs.

  /var/log/kern.log – Kernel logs.

  /var/log/cron.log – Crond logs (cron job).

  /var/log/maillog – Mail server logs.

  /var/log/boot.log – System boot log.

  /var/log/mysqld.log – MySQL database server log file.

  /var/log/secure – Authentication log.

  /var/log/utmp or /var/log/wtmp : Login records file.

  /var/log/yum.log: Yum log files.

  10.保持系统更新

  总是让系统更新最新发行的补丁包,因为这些补丁包会修复一些BUG:

  sudo apt-get upgrade

  yum check-update

  yum upgrade

版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。

相关文章
阿里云服务器怎么设置密码?怎么停机?怎么重启服务器?
如果在创建实例时没有设置密码,或者密码丢失,您可以在控制台上重新设置实例的登录密码。本文仅描述如何在 ECS 管理控制台上修改实例登录密码。
9217 0
阿里云服务器ECS远程登录用户名密码查询方法
阿里云服务器ECS远程连接登录输入用户名和密码,阿里云没有默认密码,如果购买时没设置需要先重置实例密码,Windows用户名是administrator,Linux账号是root,阿小云来详细说下阿里云服务器远程登录连接用户名和密码查询方法
11119 0
阿里云服务器端口号设置
阿里云服务器初级使用者可能面临的问题之一. 使用tomcat或者其他服务器软件设置端口号后,比如 一些不是默认的, mysql的 3306, mssql的1433,有时候打不开网页, 原因是没有在ecs安全组去设置这个端口号. 解决: 点击ecs下网络和安全下的安全组 在弹出的安全组中,如果没有就新建安全组,然后点击配置规则 最后如上图点击添加...或快速创建.   have fun!  将编程看作是一门艺术,而不单单是个技术。
10764 0
使用SSH远程登录阿里云ECS服务器
远程连接服务器以及配置环境
2450 0
使用OpenApi弹性释放和设置云服务器ECS释放
云服务器ECS的一个重要特性就是按需创建资源。您可以在业务高峰期按需弹性的自定义规则进行资源创建,在完成业务计算的时候释放资源。本篇将提供几个Tips帮助您更加容易和自动化的完成云服务器的释放和弹性设置。
11998 0
阿里云服务器如何登录?阿里云服务器的三种登录方法
购买阿里云ECS云服务器后如何登录?场景不同,阿里云优惠总结大概有三种登录方式: 登录到ECS云服务器控制台 在ECS云服务器控制台用户可以更改密码、更换系.
12917 0
腾讯云服务器 设置ngxin + fastdfs +tomcat 开机自启动
在tomcat中新建一个可以启动的 .sh 脚本文件 /usr/local/tomcat7/bin/ export JAVA_HOME=/usr/local/java/jdk7 export PATH=$JAVA_HOME/bin/:$PATH export CLASSPATH=.
4600 0
阿里云ECS云服务器初始化设置教程方法
阿里云ECS云服务器初始化是指将云服务器系统恢复到最初状态的过程,阿里云的服务器初始化是通过更换系统盘来实现的,是免费的,阿里云百科网分享服务器初始化教程: 服务器初始化教程方法 本文的服务器初始化是指将ECS云服务器系统恢复到最初状态,服务器中的数据也会被清空,所以初始化之前一定要先备份好。
6848 0
+关注
752
文章
0
问答
文章排行榜
最热
最新
相关电子书
更多
《2021云上架构与运维峰会演讲合集》
立即下载
《零基础CSS入门教程》
立即下载
《零基础HTML入门教程》
立即下载