如何使用Bastille加固Linux服务器安全

如何使用Bastille加固Linux服务器安全,第1张

Bastille加固软件可以“牢牢锁定” *** 作系统,积极主动地配置系统,以提高安全性,并且降低容易出现中招和停运的几率。Bastille还能评估系统的当前加固状态,精细化地报告它所处理的每一个安全设置。目前它支持红帽(Fedora、Enterprise和Numbered/Classic)、SUSE、Ubuntu、Debian、Gentoo、Mandrake、Mac OS X和HP-UX等 *** 作系统。
Bastille致力于让系统的用户/管理员可以选择到底如何加固 *** 作系统。在其默认的加固模式下,它以互动方式向用户提出问题,解释那些问题的主题,并且根据用户的回答来制定策略。然后,它将该策略运用到系统。在评估模式下,它建立一份报告,旨在教用户注意可用的安全设置,并且告知用户哪些设置已经加强。
将Bastille安装到Ubuntu/Debian上
使用下列命令,在Ubuntu/Debian及其衍生版上安装Bastille:
sk@sk:~$ sudo apt-get install bastille perl-tk
启动Basetille
执行下列命令,开始使用Bastille:
sk@sk:~$ sudo bastille
首先,它会显示License Agreement(许可证协议)。输入accept表示同意:

使用下面命令,查看系统是否含有pam_tally2so模块,如果没有就需要使用pam_tallyso模块,两个模块的使用方法不太一样,需要区分开来。

编辑系统/etc/pamd/system-auth 文件,一定要在pam_envso后面添加如下策略参数:

上面只是限制了从终端su登陆,如果想限制ssh远程的话,要改的是/etc/pamd/sshd这个文件,添加的内容跟上面一样!

编辑系统/etc/pamd/sshd文件,注意添加地点在#%PAM-10下一行,即第二行添加内容

ssh锁定用户后查看:

编辑系统 /etc/pamd/login 文件,注意添加地点在#%PAM-10的下面,即第二行,添加内容

tty登录锁定后查看:

编辑 /etc/pamd/remote文件,注意添加地点在pam_envso后面,参数和ssh一致

关于IIS服务器的安全主要包括六步:
1、使用安全配置向导(Security Configuration Wizard)来决定web服务器所需的最小功能,然后禁止其他不需要的功能。具体地说,它能帮你
1》禁止不需要的服务
2》堵住不用的端口
3》至于打开的端口,对可以访问的地址和其他安全做进一步的限制
4》如果可行,禁止不需要的IIS的web扩展
5》减小对SMB,LAN Manager,和LDAP协议的显露
6》定义一个高信噪比的对策
2、把网站文件放在一个非系统分区(partition)上,防止directory traversal的缺陷,对内容进行NTFS权限稽查(Audit)。
3、对自己的系统定期做安全扫描和稽查,在别人发现问题前尽早先发现自己的薄弱处。
4、定期做日志分析,寻找多次失败的登陆尝试,反复出现的404,401,403错误,不是针对你的网站的请求记录等。
5、如果使用IIS 6的话,使用Host Headers ,URL扫描,实现自动网站内容和IIS Metabase的Replication,对IUSR_servername帐号户使用标准的名称等。
6、总的web架构的设计思路:别把你的外网web服务器放在内网的活动目录(Active Directory)里,别用活动目录帐号运行IIS匿名认证,考虑实时监测,认真设置应用池设置,争取对任何活动做日志记录,禁止在服务器上使用Internet Explorer等。


欢迎分享,转载请注明来源:内存溢出

原文地址: http://outofmemory.cn/zz/10750951.html

(0)
打赏 微信扫一扫 微信扫一扫 支付宝扫一扫 支付宝扫一扫
上一篇 2023-05-11
下一篇 2023-05-11

发表评论

登录后才能评论

评论列表(0条)

保存