30、Linux安全配置

文章目录

  • 一、Linux安全配置简介
  • 二、Linux安全配置
    • 2.1 网络配置
    • 2.2 防火墙配置
      • 2.2.1 确定防火墙区域配置
    • 2.3 日志和审核
    • 2.4 访问、认证和授权
      • 2.4.1 SSH配置
      • 2.4.2 PAM模块配置

一、Linux安全配置简介

Linux种类较多,常用的有Redhat、Ubantu、Centos等。这里以Centos 7为例,进行安全配置讲解,其他版本linux可能存在安全配置方式不同,但整体配置的维度和原则是一致的。
Centos安全配置维度

  • 安装配置(默认配置即可)
  • 服务配置(默认配置即可)
  • 网络配置
  • 日志和审计
  • 访问、授权和认证
  • 系统运维

Centos安全配置原则

  • 最小安全(最小安装、最小权限)
  • 不影响业务可用(安全与业务的矛盾)
  • 职责分离
  • 审计记录

二、Linux安全配置

2.1 网络配置

(1)禁用不使用的网络协议
执行以下命令,禁用IPv6:

sysctl -w net.ipv6.conf.all.disable_ipv6=1
sysctl -w net.ipv6.conf.default.disable_ipv6=1
sysctl -w net.ipv6.route.flush=1

在这里插入图片描述
查看配置是否生效:sysctl net.ipv6.conf.all.disable_ipv6

(2)禁用不使用的无线设备,因为linux作为服务器工作时,无需使用无线

  • 查看无线设备:iw list
  • 查看当前连接:ip link show up在这里插入图片描述
  • 关闭网络连接:ip link set <interface> down
    在这里插入图片描述

(3)当linux作为独立主机使用时,配置网络

  • 关闭IP转发,默认即关闭
  • 查看IP转发配置:sysctl net.ipv4.ip_forward
  • 关闭IP转发:sysctl -w net.ipv4.ip_forward=0
    在这里插入图片描述
    (4)关闭数据包重定向
  • 查看重定向设置:sysctl net.ipv4.conf.all.send_redirects
  • 关闭重定向设置:sysctl -w net.ipv4.conf.all.send_redirects=0
    在这里插入图片描述
    (5)开启TCP SYN Cookies功能,TCP SYN功能在某种程度上可以防止TCP的SYN DDOS攻击
  • 查看TCP SYN Cookies:sysctl net.ipv4.tcp_syncookies
  • 开启TCP SYN Cookies:sysctl -w net.ipv4.tcp_syncookies=1
    在这里插入图片描述

2.2 防火墙配置

在Centos较新的版本中,引入了nftables内核取代传统netfilter内核,通常nftablesnetfilter安装一种即可,基于netfilter,又有两种前端操作工具,即firewalldiptables。这里以netfilter+firewalld进行操作。

  • 确定firewalldiptables管理工具:rpm -q firewalld iptables
    在这里插入图片描述
  • 关闭iptables的服务管理(因为同时开启iptablesfirewalld会冲突),查看iptables服务:rpm -q iptables-services
    在这里插入图片描述
    如果已安装,可以使用以下命令停止:systemctl stop iptables
  • 确保防火墙服务自动启动,并正在运行。查看firewalld状态:systemctl is-enabled firewalld或者firewalld-cmd --state
    在这里插入图片描述在这里插入图片描述
  • 开启firewalld:systemctl unmask firewalldsystemctl enable firewalld
    在这里插入图片描述

    开启防火墙,可能会导致网络中断,所以一定要分析清楚,当前网络连接与网络配置,再来开启防火墙。

2.2.1 确定防火墙区域配置

默认firewalld会创建一个public的区域,区域代表防火墙中的信任等级,每个接口都应该属于区域。

  • 查看当前区域,默认是public:firewall-cmd --get-default-zone
    在这里插入图片描述
  • 设置默认区域为public:firewall-cmd --get-default-zone=public
    在这里插入图片描述
  • 设置接口到区域:firewall-cmd --zone=public --change-interface=ens33
  • 查看当前允许的端口和服务:firewall-cmd --list-all --zone=public
    在这里插入图片描述
  • 关闭端口:firewall-cmd --remove-port=<port-number>/<port-type>,如firewall-cmd --remove-port=25/tcp
  • 关闭服务:firewall-cmd --remove-service=<service>,如:firewall-cmd --remove-service=smtp

2.3 日志和审核

  • 查看系统是否安装审核服务:rmp -q audit audit-libs
    在这里插入图片描述
  • 查看审核服务是否开启:systemctl is-enabled auditd
    在这里插入图片描述
  • 查看服务状态:systemctl status auditd

(1)配置审计数据大小,查看audit日志最大空间,默认单位为M。如下图显示为8M:
在这里插入图片描述
(2)审计用户和用户组的操作

  • 查看当前用户和用户组相关的操作记录:grep identity /etc/audit/rules.d/*.rules
    在这里插入图片描述

    当前没有任何相关配置。
    配置记录如下:vim /etc/audit/rules.d/identity.rules,加入如下内容:
    在这里插入图片描述
    (3)配置rsyslog日志
    rsyslog是取代syslog的新版本,rsyslog有一些优秀的特性,比如使用tcp连接,可以将日志存储到数据库,可以加密传输日志等。

  • 确保系统安装了rsyslog:rmp -q rsyslog
    在这里插入图片描述

  • 查看rsyslog状态:systemctl is-enabled rsyslog
    在这里插入图片描述

  • 查看当前日志目录及权限,日志权限应该为600(仅root读写):ls -l /var/log
    在这里插入图片描述

  • 查看日志归档处理,linux系统使用logrotate按定期或指定大小进行归档处理,确保logrotate正常的处理syslog日志。查看是否存在文件:ls /etc/logrotate.d/syslog
    在这里插入图片描述

  • 查看计划任务的访问授权:stat /etc/crontabstat命令显示文件或文件系统的详细信息。
    在这里插入图片描述

    如图显示,仅root可以访问计划任务,且相关访问时间。同事还应检查文件daily hourly monthly weekly。
    在这里插入图片描述

2.4 访问、认证和授权

2.4.1 SSH配置

(1)查看SSH配置文件权限
因为SSH可以使用密钥直接登录,如果SSH配置文件权限限制不严格,则造成SSH提权。检查/etc/ssh/sshd_config的权限:
在这里插入图片描述
(2)配置允许通过SSH访问的用户
使用以下命令查看当前允许SSH访问的用户:sshd -T | grep -E '^\s*(allow|deny)(users|groups)\s+\S+'

  • 如果输出为控,则说明没有配置;
  • 编辑文件/etc/ssh/sshd_config,配置允许sangfor用户访问。在文件中加入allowusers sangfor,保存、退出,并重启SSH服务。

(3)查看SSH验证失败次数
命令:sshd -T | grep maxauthtries
在这里插入图片描述
默认为6次,建议改为4次或更低。编辑vim /etc/ssh/sshd_config文件即可。
在这里插入图片描述
(4)禁止空密码登录SSHsshd -T | grep permitemptypassword
在这里插入图片描述
(5)查看SSH支持的加密方式,确保不要出现如DES MD5这类已经不再安全的算法。sshd -T | grep ciphers
在这里插入图片描述

2.4.2 PAM模块配置

PAM(Pluggable Authentication Modules)是linux中的认证管理模块,所有认证相关可有PAM处理。
(1)密码要求
/etc/security/pwquality.conf管理:

  • minlen=14,最小密码长度;
  • mincalss=4,密码复杂度,分别为大写字母、小写字母、数字、符号;

(2)用户账户和环境

  • 查看密码过期时间,建议设为60,如图为99999,显然不合适:grep ^\s*PASS_MAX_DAYS /etc/login.defs
    在这里插入图片描述
  • 查看用户的过期时间:grep -E '^[^:]+:[^!*]' /etc/shadow | cut -d:-f1,5
    在这里插入图片描述
  • 修改用户过期时间
    • 方法一,编辑默认文件(/etc/login.defs)中的PASS_MAX_DAYS值
    • 方法二,change --maxdays 365 <user>
      在这里插入图片描述

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:/a/239702.html

如若内容造成侵权/违法违规/事实不符,请联系我们进行投诉反馈qq邮箱809451989@qq.com,一经查实,立即删除!

相关文章

数据结构第六课 -----排序

作者前言 &#x1f382; ✨✨✨✨✨✨&#x1f367;&#x1f367;&#x1f367;&#x1f367;&#x1f367;&#x1f367;&#x1f367;&#x1f382; ​&#x1f382; 作者介绍&#xff1a; &#x1f382;&#x1f382; &#x1f382; &#x1f389;&#x1f389;&#x1f389…

Java开发环境详解(安装,工作流程,程序结构与终端运行)

参考书籍&#xff1a; 《明解Java》 《Java轻松学》 《Head First Java》 《Java核心技术卷I》 《Java核心技术卷II》 参考视频&#xff1a; Java零基础学习视频通俗易懂 Java入门基础视频教程&#xff0c;java零基础自学就选黑马程序员Java入门教程 参考网站&#xff1a; Kuan…

DNSLog漏洞探测(一)之DNSLog介绍

前言 DNSLog是一种基于DNS协议的信息收集技术,它可以用于网络安全领域的渗透测试、漏洞挖掘等方面。DNSLog的原理是利用DNS协议的特性,将需要收集的信息编码成DNS查询请求,然后将请求发送到DNS服务器,最后通过DNS服务器的响应来获取信息。DNSLog的实现方式有很多种,其中最常见…

.Net中的集合

所有的集合都是继承自IEnumerable。集合总体可以分为以下几类&#xff1a;关联/非关联型集合&#xff0c;顺序/随机访问集合&#xff0c;顺序/无序集合&#xff0c;泛型/非泛型集合&#xff0c;线程集合。 各集合类底层接口关系图 泛型与非泛型集合类的分析 泛型集合是类型安…

智能优化算法应用:基于入侵杂草算法3D无线传感器网络(WSN)覆盖优化 - 附代码

智能优化算法应用&#xff1a;基于入侵杂草算法3D无线传感器网络(WSN)覆盖优化 - 附代码 文章目录 智能优化算法应用&#xff1a;基于入侵杂草算法3D无线传感器网络(WSN)覆盖优化 - 附代码1.无线传感网络节点模型2.覆盖数学模型及分析3.入侵杂草算法4.实验参数设定5.算法结果6.…

Qt之自定义QToolTip,去掉显示动画和隐藏延时

一.效果 先来看看Qt原生QToolTip的缺点: 1.当提示内容无变化时,弹窗无法移动。只能先传个空字符串强制弹窗隐藏,然后在新位置再传个字符串。 If the text is the same as the currently shown tooltip, the tip will not move. You can force moving by first hiding the t…

MIT18.06线性代数 笔记3

文章目录 对称矩阵及正定性复数矩阵和快速傅里叶变换正定矩阵和最小值相似矩阵和若尔当形奇异值分解线性变换及对应矩阵基变换和图像压缩单元检测3复习左右逆和伪逆期末复习 对称矩阵及正定性 特征值是实数特征向量垂直>标准正交 谱定理&#xff0c;主轴定理 为什么对称矩…

网上很火的记事软件有哪些?可以分类记事的工具选哪个

日常记事在生活及工作方面都是非常重要&#xff0c;选择好用的记事软件可以督促各项任务的按时完成&#xff0c;。随着科技的发展&#xff0c;越来越多的记事软件涌现出来&#xff0c;让人眼花缭乱。那么&#xff0c;网上很火的记事软件有哪些&#xff1f;可以分类记事的工具应…

Java服务占用过高CPU排除思路

一、背景说明 如果线上通过 java -jar xxx.jar 的方式启动的Java服务占用过高的CPU&#xff0c;我们通过top命令是可以查看到的。 那么问题来了&#xff0c;如果通过top命令查看到是因为java服务引起的占用过高的CPU时间&#xff0c;该如何进行排查呢&#xff1f; 二、排查思路…

【论文阅读】Reachability and distance queries via 2-hop labels

Cohen E, Halperin E, Kaplan H, et al. Reachability and distance queries via 2-hop labels[J]. SIAM Journal on Computing, 2003, 32(5): 1338-1355. Abstract 图中的可达性和距离查询是许多应用的基础&#xff0c;从地理导航系统到互联网路由。其中一些应用程序涉及到巨…

【模拟】LeetCode-48. 旋转图像

旋转图像。 给定一个 n n 的二维矩阵 matrix 表示一个图像。请你将图像顺时针旋转 90 度。 你必须在 原地 旋转图像&#xff0c;这意味着你需要直接修改输入的二维矩阵。请不要 使用另一个矩阵来旋转图像。 示例 1&#xff1a; 输入&#xff1a;matrix [[1,2,3],[4,5,6]…

Python unittest单元测试框架 —— 断言assert !

assertEqual(a,b&#xff0c;[msg]):断言a和b是否相等&#xff0c;相等则测试用例通过。 assertNotEqual(a,b&#xff0c;[msg]):断言a和b是否相等&#xff0c;不相等则测试用例通过。 assertTrue(x&#xff0c;[msg])&#xff1a;断言x是否True&#xff0c;是True则测试用例…

现代雷达车载应用——第2章 汽车雷达系统原理 2.3节

经典著作&#xff0c;值得一读&#xff0c;英文原版下载链接【免费】ModernRadarforAutomotiveApplications资源-CSDN文库。 2.3 信号模型 雷达的发射机通常发出精心设计和定义明确的信号。然而&#xff0c;接收到的返回信号是多个分量的叠加&#xff0c;包括目标的反射、杂波…

Fiddler中AutoResponder的简单使用

AutoResponder&#xff0c;自动回复器&#xff0c;用于将 HTTP 请求重定向为指定的返回类型。 这个功能有点像是一个代理转发器&#xff0c;可以将某一请求的响应结果替换成指定的资源&#xff0c;可以是某个页面也可以是某个本地文件 1.使用 打开“Fiddler”&#xff0c;点击…

经典策略筛选-20231212

策略1&#xff1a; 龙头战法只做最强&#xff1a;国企改革 ----四川金顶 1、十日交易内出现 涨停或 &#xff08;涨幅大于7个点且量比大于3&#xff09; 2、JDK MACD RSI OBV BBI LWR MTM 六指标共振 3、均线多头 4、 筹码峰 &#xff08;锁仓&#xff09; 5、现价>…

用友 U8 Cloud upload.jsp 文件上传漏洞复现

0x01 产品简介 用友U8 Cloud 提供企业级云ERP整体解决方案,全面支持多组织业务协同,实现企业互联网资源连接。 U8 Cloud 亦是亚太地区成长型企业最广泛采用的云解决方案。 0x02 漏洞概述 用友U8 Cloud upload.jsp接口存在任意文件上传漏洞,攻击者可通过该漏洞上传木马,远…

网络基础(八):路由器的基本原理及配置

目录 1、路由概述 2、路由器 2.1路由器的工作原理 2.2路由器的转发原理 3、路由表 3.1路由表的概述 3.2路由表的形成 4、静态路由配置过程&#xff08;使用eNSP软件配置&#xff09; 4.1两个静态路由器配置过程 4.2三个静态路由器配置过程 5、默认路由配置过程 5.…

16、XSS——会话管理

文章目录 一、web会话管理概述1.1 会话管理1.2 为什么需要会话管理&#xff1f;1.3 常见的web应用会话管理的方式 二、会话管理方式2.1 基于server端的session的管理方式2.2 cookie-based的管理方式2.3 token-based的管理方式 三、安全问题 一、web会话管理概述 1.1 会话管理 …

智能优化算法应用:基于群居蜘蛛算法3D无线传感器网络(WSN)覆盖优化 - 附代码

智能优化算法应用&#xff1a;基于群居蜘蛛算法3D无线传感器网络(WSN)覆盖优化 - 附代码 文章目录 智能优化算法应用&#xff1a;基于群居蜘蛛算法3D无线传感器网络(WSN)覆盖优化 - 附代码1.无线传感网络节点模型2.覆盖数学模型及分析3.群居蜘蛛算法4.实验参数设定5.算法结果6.…

智能优化算法应用:基于哈里斯鹰算法3D无线传感器网络(WSN)覆盖优化 - 附代码

智能优化算法应用&#xff1a;基于哈里斯鹰算法3D无线传感器网络(WSN)覆盖优化 - 附代码 文章目录 智能优化算法应用&#xff1a;基于哈里斯鹰算法3D无线传感器网络(WSN)覆盖优化 - 附代码1.无线传感网络节点模型2.覆盖数学模型及分析3.哈里斯鹰算法4.实验参数设定5.算法结果6.…