整改方案:
对于密码的强度要求可以修改system-auth文件,vim /etc/pam.d/system-auth,修改如下:
建议 *** 作系统开启登录失败处理功能配置登录失败5次及锁定时间30分钟;
参数含义: 密码错误 5 次锁定 1800 秒
建议 *** 作系统对登录的用户分配账户和权限;
整改方案:
命令如下:
建议 *** 作系统启用安全审计功能,审计覆盖到每个用户,对重要的用户行为和重要安全事件进行审计;
整改方案:
建议 *** 作系统启用安全审计功能审计记录包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息;
整改方案:
建议 *** 作系统启用安全审计功能并部署日志审计系统并对审计记录进行保护,定期备份,避免受到未预期的删除、修改或覆盖等;
整改方案:
建议 *** 作系统启用安全审计功能对审计进程进行保护,防止未经授权的中断,限制除审计员外的审计控制权限。
整改方案:
建议 *** 作系统遵循最小安装的原则,仅安装需要的组件和应用程序;
整改方案:
按照部署方案,删除每台机器上多余的应用即可。
建议 *** 作系统关闭不需要的系统服务、默认共享和高危端口,如FTP、DHCP等不必要服务
整改方案:
通过设定终端接入方式、网络地址范围等条件限制终端登录
需要登录虚拟机执行如下两句话才能ssh连接:
开机执行脚本
应邀回答行业问题Linux系统广泛被应用在服务器上,服务器存储着公司的业务数据,对于互联网公司数据的安全至关重要,各方面都要都要以安全为最高优先级,不管是服务器在云端还在公司局域网内,都要慎之又慎。如果黑客入侵到公司的Linux服务器上,执行下面的命令,好吧,这是要彻底摧毁的节奏,5分钟后你只能呵呵的看着服务器了,为什么要seek呢?给你留个MBR分区。dd if=/dev/zero of=/dev/sda bs=4M seek=1Linux系统的安全加固可分为系统加固和网络加固,每个企业的业务需求都不一样,要根据实际情况来配置。比如SSH安全、账户弱口令安全、环境安全、关闭无用服务、开启防火墙等,已经Centos7为例,简单说下linux系统SSH网络安全加固。SSH安全将ssh服务的默认端口22修改为其他端口,并限制root用户登陆,配置firewall允许ssh端口通过。[root@api ~]#sed -i 's#Port 22#Port 6022#' /etc/ssh/sshd_config[root@api ~]#echo 'PermitRootLogin no' /etc/ssh/sshd_config[root@api ~]# firewall-cmd --zone=public --add-port=6022/tcp --permanent[root@api ~]# firewall-cmd --reload限制访问ssh的用户和IP[root@api ~]#echo 'AllowUsers NAME' >>/etc/ssh/sshd_config[root@api ~]# echo 'sshd:xxx..x.x:allow' >>/etc/hosts.allow[root@api ~]# systemctl restart sshd禁止ping测试服务器,禁止IP伪装。[root@api ~]# echo 1 >/proc/sys/net/ipv4/icmp_echo_ignore_all[root@api ~]# echo nospoof on >>/etc/host.conf在Centos7以后iptables将被firewall替代,当然我们还能够使用iptables,首先需要删除firewall后,才能够使用iptables,技术总是在进步的,老的会慢慢被替代。Linux系统安全加固还有很多,想要继续可以查阅资料。Linux服务器评测脚本
https://www.cnblogs.com/aqicheng/p/10107091.html
Linux系统服务器性能跑分测试脚本
https://www.wn789.com/35866.html
ACL权限设置命令setfacl和getfacl命令
https://www.cnblogs.com/MLibra/p/6240209.html
Linux等保加固脚本
https://blog.csdn.net/weixin_34413103/article/details/89784080
https://www.cnblogs.com/flawlessm/p/12843188.html
欢迎分享,转载请注明来源:内存溢出
微信扫一扫
支付宝扫一扫
评论列表(0条)