0512-82289966
技术专区
首页 > 技术专区
Linux服务器如何加固(安全篇)

信息安全防护的目标


安全防护环节

LINUX系统加固

1、阻止普通用户关机

  1. [root@svr1 ~]# cd /etc/security/console.apps/  

  2. [root@svr1 console.apps]# mkdir -m 700 locked 

  3. [root@svr1 console.apps]# mv poweroff locked/ 


2、设置普通用户密码各个时间:

-m密码最短有效时间

-M最长

-W:警告waring

-I:不活跃时间inactive

-E:失效时间 expire

设置普通用户下一次登陆必须改密码

  1. [root@localhost ~]# chage -d 0 alice 


3、清理非登录账号

删除冗余账号 ;

/sbin/nologin,禁止登录shell


4、帐号锁定操作

  1. [root@localhost ~]# passwd -l alice 

  2. [root@localhost ~]# passwd -S alice 

  3. [root@localhost ~]# passwd -u alice 

  4. [root@localhost ~]# usermod -L alice 

  5. [root@localhost ~]# usermod -U alice 

-l:锁定、-u解锁、-S查看状态、

-L:usermod下的锁定;

U:usermod的解锁


5、配置文件/etc/login.defs

对新建的用户有效

主要控制属性

6、设置最大历史命令条目数

  1. # vim /etc/profile ->改HISTSIZE参数 

  2. HISTSIZE 


7、文件系统规划及挂载

mount挂载选项

-o noexec :不可执行

-o nosuid :

SUID:如果一个可执行文件对于所有用户有x权限。而且设置了suid,那么给文件在执行期间就具有了属主的的权限


8、合理挂载文件系统

/etc/fstab中的defaults是挂载选项,

可以添加ro(只读)等限制


9、文件加锁、解锁

把/etc/hosts变成绝对只读文件

把/etc/hosts变成只能追加内容的文件

  1. # chattr +a /etc/hosts 

  2. # chattr +/- i/a 

  3. # lsattr /etc/hosts 

+a:追加

+i:只读(一成不变的)

(change attribute + immutable)

(change attribute + append only)


10、tty终端控制

配置文件 /etc/sysconfig/init

  1. ACTIVE_CONSOLES=/dev/tty[1-6]//默认允许使用1-6个tty终端 

立即禁止普通用户登录

  1. # touch /etc/nologin 

默认是没有这个文件的,创建一个空文件之后,普通用户是无法登陆的,只允许root从指定的几个终端登录

配置文件 /etc/securetty


11、伪装终端登陆提示,防止系统版本信息泄漏

  1. #vim /etc/issue//本地登陆提示信息  

  2. /etc/issue.net//网络登陆提示信息,如telnet 


12、禁止Ctrl+Alt+Del重启

配置文件:/etc/init/control-alt-delete.conf