Linux服务器通用安全加固指南

基本系统安全

1、保护引导过程（以Grub引导为例）

在 /etc/inittab 中添加 sp:S:respawn:/sbin/sulogin，以确保当切换到单用户模式时 运行级的配置要求输入 root 密码： 

 

 

 

 

 

 

防止用户使用 Ctrl-Alt-Del 进行重新引导：

      在RHEL6.X和CentOS 6.X下, 该热键的行为由'/etc/init/control-alt-delete.conf'控制。

 

 

 

 

 

 

2、关闭不使用的服务

      首先查看哪些服务是开启的：

 

 

 关闭邮件服务，使用公司邮件服务器：

 

 

 

 

 

关闭nfs服务及客户端：

 

 

 

3、增强特殊文件权限：

      给下面的文件加上不可更改属性，从而防止非授权用户获得权限。

 

强制实行配额和限制：

 

 

二、用户安全

1. 禁用不使用的用户

 

 

 

 

ssh登陆安全

 

 

限制登录失败次数并锁定

      在/etc/pam.d/login后添加:

 

 

减少history命令记录

      执行过的历史命令记录越多，从一定程度上讲会给维护带来简便，但同样会伴随安全问题。

      vi /etc/profile

      找到 HISTSIZE=1000 改为 HISTSIZE=50。

      执行 source /etc/profile生效

      或每次退出时清理history命令：history –c。

 

 

 

 

三、网络安全

1、禁用ipv6

   禁用基于IPv6网络，使之不会被触发启动：

 

 

  禁用网卡IPv6设置，使之仅在IPv4模式下运行：

 关闭ip6tables：

重启系统，验证是否生效：

防止一般网络攻击

      网络攻击不是几行设置就能避免的，以下都只是些简单的将可能性降到最低，增大攻击的难度但并不能完全阻止。

（1）禁ping

 

 

 

防止IP欺骗

      编辑/etc/host.conf文件并增加如下几行来防止IP欺骗攻击：

 

 

防止DoS攻击

      对系统所有的用户设置资源限制可以防止DoS类型攻击，如最大进程数和内存使用数量等。

      可以在/etc/security/limits.conf中添加如下几行：

 

 

 

 

 

 

 

 查询资料了解更多关于linux系统加固的知识

建立多帐户组，将用户账号分配到相应的帐户组

删除或锁定可能无用的帐户

设置口令策略满足复杂度要求

查询资料了解iptables有哪些用途？

iptables简称netfilter/iptables（简称为iptables）组成Linux平台下的包过滤防火墙，与大多数的Linux软件一样，这个包过滤防火墙是免费的，它可以代替昂贵的商业防火墙解决方案，完成封包过滤、封包重定向和网络地址转换（NAT）等功能。