linux安全整改项
1. 服务器操作系统配置口令使用期限;配置口令复杂度校验功能
vim /etc/login.defs 如下配置
PASS_MAX_DAYS90
PASS_MIN_DAYS2
PASS_MIN_LENS8
PASS_WARN_AGE7
/etc/shadow
将存量用户的口令使用期限设置为90或180天
/etc/pam.d/system-auth
(需放置于passwordrequired pam_deny.so的前面):password requisite pam_pwquality.so try_first_pass local_users_only retry=3 authtok_type= minlen=8 lcredit=-1 ucredit=-1 dcredit=-1 ocredit=-1 enforce_for_root,并修改存量用户的弱口令以符合现有口令策略。(centos 7以上版本)
2. 配置登录失败处理功能;设置空闲会话时间
/etc/pam.d/system—auth文件和/etc/pam.d/sshd
文件中的第一行均设置
auth required pam_tally2.so onerr=fail deny=5 unlock_time=600 even_deny_root root_unlock_time=600
(注:/etc/pam.d/system—auth、/etc/pam.d/sshd两个文件均需配置,并置于第一行)
/etc/profile 如下配置:
设置超时锁定参数export TMOUT= 600;并在下一行增加:readonly TMOUT。(修改profile文件后需执行source /etc/profile)
3.限制默认账户的访问权限
/etc/ssh/sshd_config 如下配置:
配置PermitRootLogin为no
修改后重启sshd :
service sshd restart 或者 systemctl restart sshd.service
4.配置audit审计规则
/etc/rsyslog.conf
添加系统日志文件,加上:*.warning /var/log/syslog
/etc/audit/audit.rules
配置audit审计规则,新增内容如下:
-w /etc/at.allow -p rwxa
-w /etc/at.deny -p rwxa
-w /etc/inittab -p wa
-w /etc/init.d -p rwxa
-w /etc/init.d/auditd -p wa
-w /etc/cron.d -p wa
-w /etc/cron.daily -p wa
-w /etc/cron.hourly -p wa
-w /etc/cron.monthly -p wa
-w /etc/cron.weekly -p wa
-w /etc/crontab -p wa
-w /etc/group -p wa
-w /etc/passwd -p wa
-w /etc/shadow -p rwxa
-w /etc/sudoers -p wa
-w /etc/hosts -p wa
-w /etc/sysconfig -p rwxa
-w /etc/sysctl.conf -p wa
-w /etc/modprobe.d -p rwxa
-w /etc/aliases -p wa
-w /etc/bashrc -p wa
-w /etc/profile -p wa
-w /etc/profile.d -p rwxa
-w /var/log/lastlog -p rwxa
-w /var/log/yum.log -p rwxa
-w /etc/issue -p wa
-w /etc/issue.net -p wa
-w /usr/bin -p wa
-w /usr/sbin -p wa
-w /bin -p wa
-w /etc/ssh/sshd_config -p rwxa
* 需要注意的是:修改后,需重启auditd服务生效:
service auditd reload或service auditd restart
5.审计记录留存时间不足六个月,未配置日志服务器或日志审计系统对审计记录进行实时收集保护
1)/etc/logrotate.conf 如下配置
修改rotate参数,保存后通过servicersyslog restart命令重启rsyslog进程,保证审计记录留存时间至少为6个月
2)/etc/audit/auditd.conf 如下配置
修改max_log_file =500(500M仅为参考值,示实际情况设置) num_logs = 98(只有在max_log_file_action=rotate时该选项才有意义,且num_logs值必须是0~99之间的数),保证auditd日志留存时间超过半年。
注:当修改配置文件后,需要重启auditd服务(service auditd reload或service auditd restart)
3)/etc/rsyslog.conf 如下配置:
配置日志服务器或日志审计系统实时收集操作系统的审计日志,linux系统可在rsyslog.conf配置文件的最后新增一行:
*.emerg;*.alert;*.crit;*.err;*.warning;*.notice;*.info;*.debug @1.1.1.1(#:设置为实际日志服务器的ip;)
并重新启动rsyslog服务;# systemctl restart rsyslog或/etc/init.d/rsyslog restart
6.在主机操作系统层面限制操作系统的远程管理IP地址。
方法一:开启主机防火墙(Linux中有两种防火墙软件,ConterOS7.0以上使用的是firewall),并配置访问控制策略,建议限制仅能通过堡垒机管理服务器。
systemctl stauts firewalld --查看防火墙状态
参考链接:https://blog.csdn.net/weixin_39986973/article/details/110459552
方法二:/etc/hosts.allow及 /etc/hosts.deny中配置访问控制策略,建议限制仅能通过堡垒机管理服务器
/etc/hosts.allow
sshd:19.*:allow
sshd:192.168.*:allow
sshd:172.40.*:allow
sshd:10.116.*:allow
sshd:172.0.*:allow
/etc/hosts.deny
sshd:all
linux安全整改项相关推荐
- linux系统修改自动启动项,linux修改启动项
linux修改启动项 发布时间:2007-04-28 00:56:08来源:红联作者:readywin 在装好fedora后,便由grub来引导,不作选择则默认进入fedora.每次都在开机时选择一次 ...
- linux开机启动项6个级别_linux开机启动设置的几种方法
Linux开机自启动的几种方式: 1.手动配置在文件中加入启动命令 2.文件指向路径是/etc/init.d下的脚本文件 /etc/rc[0-6].d 0-6是linux操作系统的运行级别,运行run ...
- linux 内核 目录项高速缓存 dentry cache 简介
每个dentry对象都属于下列几种状态之一: (1)未使用(unused)状态:该dentry对象的引用计数d_count的值为0,但其d_inode指针仍然指向相关的的索引节点.该目录项仍然包含有效 ...
- linux 启动rsyslog服务_我的服务器怎么老这么慢,难道说是被挖矿了?linux开机启动项自查...
黑客技术点击右侧关注,了解黑客的世界! Java开发进阶点击右侧关注,掌握进阶之路! Python开发点击右侧关注,探讨技术话题! 作者丨小熊爱编程 来源丨编程三分钟(coding3min) &quo ...
- linux双系统启动项grub,grub双系统启动顺序更改
多人都说更改 /boot/grub/grub.conf文件,将其中的default=0改成defualt=1. 我不太清楚这种方法是否在linux下正确,但我知道这在ubuntu下是不正确的, 因为在 ...
- linux去除重复字符,Linux去除重复项命令uniq
本篇介绍uniq命令,uniq也是linux管道命令家族中的一员,其主要功能是去除重复项. 在介绍uniq命令之前,我们先来新建在下面的案例中需要用到的文件/tmp/uniq.txt,内容如下 默认情 ...
- 袁萌:Linux的十项重要进展
十年以来,全球Linux界有哪些重要进展,人们应该知道?对此,人们可以有不同的看法,但是,大家总得有个大致相同的认识.实际情况怎样呢? 12月20日,IBM在庆祝Linux的10年来所取得的重要进展活 ...
- centos linux开机启动项,Centos 配置开机启动项
Linux system 部署新的服务,初次启动服务都是通过command的方式手工启动,时间久了之后重启系统或有别的人员维护系统[不熟悉环境.业务],可能造成服务未启动.业务受影响,排查起来维护成本 ...
- linux 添加启动项运行shell脚本的方法
在Linux中,可以通过以下步骤将Shell脚本添加到启动项中以自动运行: 1.创建启动脚本:使用任意文本编辑器编写一个Shell脚本,并将其保存到您希望存储启动脚本的目录中.例如,您可以将启动脚本保 ...
- Linux默认启动项修改
升级CentOS至最新版本 1.导入key rpm --import https://www.elrepo.org/RPM-GPG-KEY-elrepo.org 当然,如果已经修改了repo的gpgc ...
最新文章
- AI一分钟 | 华为余承东携Mate 10高调亮相CES,不惧美国运营商放鸽子;日本推“手掌支付”服务,竟靠手相和手掌静脉识别
- matlab中-psi_matlab输出论文仿真图
- 用JavaScript实现动态省市县三级联动
- 【网址收藏】k8s中helm方式安装postgresql及pgadmin
- Laravel 某个字段更新失败的原因
- .NET Core 3.0中用 Code-First 方式创建 gRPC 服务与客户端
- poj 3101Astronomy(圆周追击+分数最小公倍数)
- mysql innodb数据结构_Mysql InnoDB数据结构
- NB-IoT适用于电子门锁通信吗?
- JAVA线程1 - 基本概念
- 淘宝双12惊喜——“寻”千兆,万兆光模块等你来
- NumpyPandas内置函数实现分组
- c++项目实例_.NET Core CLI来启动应用程序的多个实例
- php utc时间_datetime - 以PHP格式获取UTC时间
- 渗透测试 ( 1 ) --- 必备 工具、导航
- YUV Alpha Blend 推导过程
- 制作一个简单HTML旅游网站(HTML+CSS+JS)无锡旅游网页设计与实现8个页面
- 学python可以改善思维_论高中新课标下Python课程对学生计算思维的培养
- 机器学习实战——2.3 示例:手写识别系统
- python核心编程电子书_Python核心编程 PDF 超清第3版
热门文章
- Python学习20230221
- JAVA小白 编程练习题
- 反射破坏单例模式以及怎样防御
- wifi数据包解析_在同一wifi内能够抓取数据包,通过对这些数据包分析能够得到些什么? 如何对这些数据包进行分析?...
- 【翻译】Ext JS最新技巧——2015-10-21
- 牛客练习赛62(基于官方题解的补题 A ~ D)
- leetcode: super washing machines
- 大数据的学习——变量和数据类型
- 集团动态 ||树莓集团第一次职工大会
- 汽车VIN码,车架号,移动端,服务器端识别技术