Linux服务器通用安全加固指南

一、基本系统安全

1、保护引导过程

 

 

2、关闭不使用的服务

      首先查看哪些服务是开启的：

 

 

 关闭邮件服务，使用公司邮件服务器：

 

  关闭nfs服务及客户端：

 

 

 

3、增强特殊文件权限：

      给下面的文件加上不可更改属性，从而防止非授权用户获得权限。

 

    如果再要添加删除用户，需要先取消上面的设置，等用户添加删除完成之后，再执行上面的操作，例如取消只读权限chattr -i /etc/passwd。

4、强制实行配额和限制：

      Linux PAM可以强制实行一些实用的限制，在 /etc/security/limits.conf 文件中对此进行配置。

 

二、用户安全

1. 禁用不使用的用户

 

 

 

 

 

 

 

2、ssh登陆安全

修改ssh的默认端口22，改成如20002这样的较大端口会大幅提高安全系数，降低ssh破解登录的可能性

 

 

 

（2）只允许wheel用户组的用户su切换(这里只是举例，不一定要用这个用户组名字)

      

      其他用户切换root，即使输对密码也会提示 su: incorrect password

      （3）登录超时

      用户在线5分钟无操作则超时断开连接，在/etc/profile中添加：

      

      （4） 禁止root直接远程登录

      

      （5）限制登录失败次数并锁定

      在/etc/pam.d/login后添加:

      

3、减少history命令记录

三、网络安全

1、禁用ipv6

 

 

 

 禁止加载IPv6模块：

      让系统不加载ipv6相关模块，这需要修改modprobe相关设定文件，为了管理方便，我们新建设定文件/etc/modprobe.d/ipv6off.conf

      

      禁用基于IPv6网络，使之不会被触发启动：

      

      禁用网卡IPv6设置，使之仅在IPv4模式下运行：

      

      关闭ip6tables：

2、防止一般网络攻击

 1）禁ping

 

 

（2）防止IP欺骗

      编辑/etc/host.conf文件并增加如下几行来防止IP欺骗攻击：

      

 

 

 

3）防止DoS攻击

      对系统所有的用户设置资源限制可以防止DoS类型攻击，如最大进程数和内存使用数量等。

      可以在/etc/security/limits.conf中添加如下几行：

      

 

 

然后必须编辑/etc/pam.d/login文件检查下面一行是否存在：

      

 

 

 

 

 3、定期做日志检查

   将日志移动到专用的日志服务器里，这可避免入侵者轻易的改动本地日志。下面是常见linux的默认日志文件及其用处：

      

 

 分析与思考

1、查询资料了解更多关于linux系统加固的知识。

Linux系统进行安全加固可以从以下几个方面入手。 （1）文件监控层面：可以使用Aide工具进行问卷监控，这是最好的选择。 （2）Crontab任务监控：通过巡检脚本定期采集Crontab任务，分析每条任务。 （3）进程数量监控和对比：通过巡检脚本采集对比进程数量，发现进程差异要及时反馈，并给出进程的详细信息，根据PID号查询网络连接的异常。

2、查询资料了解iptables有哪些用途？

是Linux上常用的防火墙软件，是netfilter项目的一部分。可以直接配置，也可以通过许多前端和图形界面配置。