[CentOS,LISTEN,运行级别,NFS,Debian]强化Linux安全的10个技能

简介:   1.找出不必要的服务  很明显,服务器上跑的服务,并不是每个都有用的。强烈建议检查并关掉不需要的服务,从而减少风险(多跑一个服务,就可能多几个漏洞)。  查询运行在runlevel 3的服务列表:  [afei@afei ~]# /sbin/chkconfig --list |grep '3:on'

  1.找出不必要的服务

  很明显,服务器上跑的服务,并不是每个都有用的。强烈建议检查并关掉不需要的服务,从而减少风险(多跑一个服务,就可能多几个漏洞)。

  查询运行在runlevel 3的服务列表:

  [afei@afei ~]# /sbin/chkconfig --list |grep '3:on'

  关闭指定的服务:

  [afei@afei ~]# chkconfig ip6tables off

  疑问:为什么查询runlevel 3的服务?

  Linux系统有7个运行级别(runlevel),分别如下:

  runlevel 0:系统停机状态,系统默认运行级别不能设为0,否则不能正常启动;

  runlevel 1:单用户工作状态,root权限,用于系统维护,禁止远程登陆;

  runlevel 2:多用户状态(没有NFS);

  runlevel 3:完全的多用户状态(有NFS),登陆后进入控制台命令行模式。这个运行级别的服务会启动httpd,系统提供web server服务,所以主要查看这个运行级别的服务;

  runlevel 4:系统未使用,保留;

  runlevel 5:X11控制台,登陆后进入图形GUI模式;

  runlevel 6:系统正常关闭并重启,默认运行级别不能设为6,否则不能正常启动;

  2.检查监听的网络端口

  通过netstat命名能够看到所有已经打开的端口,并且可以看到是哪些程序打开的。如果发现某些是必须要的,建议关掉:

  [afei@afei~]# netstat -tulpn

  Active Internet connections (only servers)

  Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program name

  tcp 0 0 0.0.0.0:2181 0.0.0.0:* LISTEN 48983/java

  tcp 0 0 0.0.0.0:2182 0.0.0.0:* LISTEN 49051/java

  3.优化CRON任务

  linux的cron可以执行一些定时任务。并且还可以通过/etc/cron.allow 和 /etc/cron.deny 控制哪些用户可以运行JOB,哪位用户禁止运行JOB。例如:

  允许用户afei允许JOB,执行如下命令:

  echo afei >> /etc/cron.allow

  禁止所有用户访问JOB,执行如下命令:

  echo ALL >>/etc/cron.deny

  4.限制用户使用旧密码

  linux用户的旧密码保存在文件/etc/security/opasswd中:

  [root@LAPP-V1159 ~]# cat /etc/security/opasswd

  afei:504:4:$1$MVAi/EpJ$iXXkV5r3Hjc8AaK2b5KyQ/,$1$AbpFPYaD$ZKj12lK6qaYUqgQnEdocd0,$1$POabjmzY$F4Cp6aTwN6RRk1KjZWm8A/,$1$LoHe5GHY$QjkLGqABANpLmlQsRB4WE.

  检查是否有开启限制使用旧密码,在RHEL / CentOS / Fedora系统中,查看文件:/etc/pam.d/system-auth。在Ubuntu/Debian/Linux Mint系统中,查看文件:/etc/pam.d/common-password,需要下面两行关键内容,其中remember=4,表示不能使用最后4次密码,否则买二手域名平台会报错:Password has been already used. Choose another.:

  auth sufficient pam_unix.so nullok try_first_pass

  password sufficient pam_unix.so sha512 shadow nullok try_first_pass use_authtok remember=4

  5.检查密码过期

  密码的过期属性可以通过如下命令查看:

  [root@root ~]# chage -l afei

  Last password change : Sep 14, 2021

  Password expires : Nov 13, 2021

  Password inactive : never

  Account expires : never

  Minimum number of days between password change : 0

  Maximum number of days between password change : 60

  Number of days of warning before password expires : 7

  修改密码的过期属性可以执行如下命令:

  chage -M 60 -W 7 afei

  说明:

  -M 60表示密码最大有效期是60天。

  -W 7 表示密码还有7天过期时给出告警提醒。

  6.检查密码为空的用户

  密码为空意味着只要知道用户名就能访问,这非常危险。因为用户与密码信息保存在文件/etc/shadow中,且格式如下:

  admin:$6$YTSkre3DLd4SAZ$Jy9piv/gPezhLrLzMMeUleV8F5DNjP:17765:0:99:5:::

  afei:$6$.vMcyE9ss96$YNk2Q5qiS/SAeGCcyEFsmspkC5dr3OXfnN:17788:0:60:7:::

  后面的几个数字是密码过期等属性信息,上面已经提及。

  所以,检查密码为空的用户,只需要执行如下命令即可,如果发现有这样的用户,通过root用户执行passwd username强行修改它的密码:

  cat /etc/shadow | awk -F: '($2==""){print $1}'

  7.锁定&解锁用户

  和删除用户账户不一样,这个只是限制用户登录。只需要执行如下密码即可锁定&解锁用户:

  [root@root ~]# passwd -l afei

  Locking password for user afei.

  passwd: Success

  [root@root ~]# passwd -u afei

  Unlocking password for user afei.

  passwd: Success

  说明:

  参数l表示lock,即锁定用户密码;

  参数u表示unlock,即解锁用户密码;

  8.关闭IPv6

  现在IPv6基本上没有实际使用,所以我们可以关掉它,在文件/etc/sysconfig/network中增加如下两行内容即可:

  NETWORKING_IPV6=no

  IPV6INIT=no

  9.复查日志

  Linux服务器上很多的行为都会有记录相应的日志,简单列举一些如下,如果有一些非法操作,就能从这些日志中造成蛛丝马迹,例如非法登陆,非法定时任务等:

  /var/log/message – Where whole system logs or current activity logs are available.

  /var/log/auth.log – Authentication logs.

  /var/log/kern.log – Kernel logs.

  /var/log/cron.log – Crond logs (cron job).

  /var/log/maillog – Mail server logs.

  /var/log/boot.log – System boot log.

  /var/log/mysqld.log – MySQL database server log file.

  /var/log/secure – Authentication log.

  /var/log/utmp or /var/log/wtmp : Login records file.

  /var/log/yum.log: Yum log files.

  10.保持系统更新

  总是让系统更新最新发行的补丁包,因为这些补丁包会修复一些BUG:

  sudo apt-get upgrade

  yum check-update

  yum upgrade

目录
相关文章
|
17天前
|
存储 安全 Linux
|
28天前
|
运维 网络协议 安全
Linux安全运维--一篇文章全部搞懂iptables
Linux安全运维--一篇文章全部搞懂iptables
35 1
|
20天前
|
安全 搜索推荐 Ubuntu
|
3月前
|
存储 安全 Ubuntu
CentOS 与 Debian:主要相似点和不同点
【8月更文挑战第27天】
91 2
CentOS 与 Debian:主要相似点和不同点
|
3月前
|
关系型数据库 MySQL Linux
在Linux中,新安装mysql后怎样提升mysql的安全级别?
在Linux中,新安装mysql后怎样提升mysql的安全级别?
|
3月前
|
Ubuntu Linux
内核实验(四):Qemu调试Linux内核,实现NFS挂载
本文介绍了在Qemu虚拟机中配置NFS挂载的过程,包括服务端的NFS服务器安装、配置和启动,客户端的DHCP脚本添加和开机脚本修改,以及在Qemu中挂载NFS、测试连通性和解决挂载失败的方法。
145 0
内核实验(四):Qemu调试Linux内核,实现NFS挂载
|
3月前
|
存储 监控 安全
在Linux中,如何进行安全审计?
在Linux中,如何进行安全审计?
|
3月前
|
运维 Ubuntu 安全
在Linux中,如何配置NFS共享?
在Linux中,如何配置NFS共享?
|
3月前
|
Ubuntu Linux
在Linux中,系统缺省的运行级别是什么?
在Linux中,系统缺省的运行级别是什么?
|
3月前
|
网络协议 Ubuntu Linux
在Linux中,如何使用NFS和Samba共享文件和目录?
在Linux中,如何使用NFS和Samba共享文件和目录?