仓酷云

 找回密码
 立即注册
搜索
热搜: 活动 交友 discuz
查看: 1002|回复: 9
打印 上一主题 下一主题

[CentOS(社区)] 来一发Linux经常使用宁静设置

[复制链接]
简单生活 该用户已被删除
跳转到指定楼层
楼主
发表于 2015-1-14 20:30:09 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式

马上注册,结交更多好友,享用更多功能,让你轻松玩转社区。

您需要 登录 才可以下载或查看,没有帐号?立即注册

x
欢迎大家来到仓酷云论坛!用户办理

用户权限

1)限定root
[size=1em]
[size=1em]1

[size=1em]2

[size=1em][size=1em]echo"tty1">/etc/securetty

[size=1em]chmod700/root



2)暗码战略
[size=1em]
[size=1em]1

[size=1em]2

[size=1em]3

[size=1em]4

[size=1em][size=1em]echo"Passwordsexpireevery180days"
[size=1em]perl-npes/PASS_MAX_DAYSs+99999/PASS_MAX_DAYS180/-i/etc/login.defs
[size=1em]echo"Passwordsmayonlybechangedonceaday"
[size=1em]perl-npes/PASS_MIN_DAYSs+0/PASS_MIN_DAYS1/g-i/etc/login.defs



用sha512回护暗码而不必md5
[size=1em]
[size=1em]1

[size=1em][size=1em]authconfig--passalgo=sha512--update




3)umask限定
变动umask为077

[size=1em]
[size=1em]1

[size=1em]2

[size=1em][size=1em]perl-npes/umasks+0d2/umask077/g-i/etc/bashrc

[size=1em]perl-npes/umasks+0d2/umask077/g-i/etc/csh.cshrc



4)Pam修正
[size=1em]
[size=1em]1

[size=1em][size=1em]touch/var/log/tallylog




[size=1em]
[size=1em]1

[size=1em]2

[size=1em]3

[size=1em]4

[size=1em]5

[size=1em]6

[size=1em]7

[size=1em]8

[size=1em]9

[size=1em]10

[size=1em]11

[size=1em]12

[size=1em]13

[size=1em]14

[size=1em]15

[size=1em]16

[size=1em]17

[size=1em]18

[size=1em]19

[size=1em]20

[size=1em]21

[size=1em]22

[size=1em]23

[size=1em]24

[size=1em][size=1em]cat<<EOF>/etc/pam.d/system-auth
[size=1em]#%PAM-1.0
[size=1em]#Thisfileisauto-generated.
[size=1em]#Userchangeswillbedestroyedthenexttimeauthconfigisrun.
[size=1em]authrequiredpam_env.so
[size=1em]authsufficientpam_unix.sonulloktry_first_pass
[size=1em]authrequisitepam_succeed_if.souid>=500quiet
[size=1em]authrequiredpam_deny.so
[size=1em]authrequiredpam_tally2.sodeny=3onerr=failunlock_time=60
[size=1em]
[size=1em]accountrequiredpam_unix.so
[size=1em]accountsufficientpam_succeed_if.souid<500quiet
[size=1em]accountrequiredpam_permit.so
[size=1em]accountrequiredpam_tally2.soper_user
[size=1em]
[size=1em]passwordrequisitepam_cracklib.sotry_first_passretry=3minlen=9lcredit=-2ucredit=-2dcredit=-2ocredit=-2
[size=1em]passwordsufficientpam_unix.sosha512shadownulloktry_first_passuse_authtokremember=10
[size=1em]passwordrequiredpam_deny.so
[size=1em]
[size=1em]sessionoptionalpam_keyinit.sorevoke
[size=1em]sessionrequiredpam_limits.so
[size=1em]session[success=1default=ignore]pam_succeed_if.soserviceincrondquietuse_uid
[size=1em]sessionrequiredpam_unix.so
[size=1em]EOF



/var/log/tallylog是二进制日记,纪录认证失利情形。可使用pam_tally2--reset-uusername解锁
5)接纳闲置用户

[size=1em]
[size=1em]1

[size=1em]2

[size=1em]3

[size=1em]4

[size=1em][size=1em]echo"Idleuserswillberemovedafter15minutes"
[size=1em]echo"readonlyTMOUT=900">>/etc/profile.d/os-security.sh
[size=1em]echo"readonlyHISTFILE">>/etc/profile.d/os-security.sh
[size=1em]chmod+x/etc/profile.d/os-security.sh



6)cron和at限定
[size=1em]
[size=1em]1

[size=1em]2

[size=1em]3

[size=1em]4

[size=1em]5

[size=1em]6

[size=1em]7

[size=1em]8

[size=1em][size=1em]echo"LockingdownCron"
[size=1em]touch/etc/cron.allow
[size=1em]chmod600/etc/cron.allow
[size=1em]awk-F:{print$1}/etc/passwd|grep-vroot>/etc/cron.deny
[size=1em]echo"LockingdownAT"
[size=1em]touch/etc/at.allow
[size=1em]chmod600/etc/at.allow
[size=1em]awk-F:{print$1}/etc/passwd|grep-vroot>/etc/at.deny



删除体系特别的的用户和组

[size=1em]
[size=1em]1

[size=1em]2

[size=1em]3

[size=1em]4

[size=1em]5

[size=1em]6

[size=1em]7

[size=1em]8

[size=1em]9

[size=1em]10

[size=1em]11

[size=1em][size=1em]userdelusername
[size=1em]userdeladm
[size=1em]userdellp
[size=1em]userdelsync
[size=1em]userdelshutdown
[size=1em]userdelhalt
[size=1em]userdelnews
[size=1em]userdeluucp
[size=1em]userdeloperator
[size=1em]userdelgames
[size=1em]userdelgopher



以上所删除用户为体系默许创立,可是在经常使用办事器中基础不利用的一些帐号,可是这些帐号常被黑客使用和打击办事器。
[size=1em]
[size=1em]1

[size=1em]2

[size=1em]3

[size=1em]4

[size=1em]5

[size=1em]6

[size=1em]7

[size=1em][size=1em]groupdelusername
[size=1em]groupdeladm
[size=1em]groupdellp
[size=1em]groupdelnews
[size=1em]groupdeluucp
[size=1em]groupdelgames
[size=1em]groupdeldip



一样,以上删除的是体系装置是默许创立的一些组帐号。如许就削减受打击的时机。
办事办理

封闭体系不利用的办事

[size=1em]
[size=1em]1

[size=1em]2

[size=1em]3

[size=1em]4

[size=1em]5

[size=1em]6

[size=1em]7

[size=1em]8

[size=1em]9

[size=1em]10

[size=1em]11

[size=1em]12

[size=1em][size=1em]chkconfiglevel35apmdoff
[size=1em]chkconfiglevel35netfsoff
[size=1em]chkconfiglevel35yppasswddoff
[size=1em]chkconfiglevel35ypservoff
[size=1em]chkconfiglevel35dhcpdoff?
[size=1em]chkconfiglevel35portmapoff
[size=1em]chkconfiglevel35lpdoff
[size=1em]chkconfiglevel35nfsoff
[size=1em]chkconfiglevel35sendmailoff
[size=1em]chkconfiglevel35snmpdoff
[size=1em]chkconfiglevel35rstatdoff
[size=1em]chkconfiglevel35atdoff??



按期更新体系

yum-yupdate,能够到场到cronjob。
ssh办事宁静

利用证书登录体系,详细不胪陈,请看这篇文章http://www.centos.bz/2012/02/strengthen-ssh-security-login-with-certificate/
LAMP宁静

体系文件权限

修正init目次文件实行权限
[size=1em]
[size=1em]1

[size=1em][size=1em]chmod-R700/etc/init.d/*




修正局部体系文件的SUID和SGID的权限
[size=1em]
[size=1em]1

[size=1em]2

[size=1em]3

[size=1em]4

[size=1em]5

[size=1em]6

[size=1em]7

[size=1em]8

[size=1em]9

[size=1em]10

[size=1em]11

[size=1em]12

[size=1em]13

[size=1em][size=1em]chmoda-s/usr/bin/chage
[size=1em]chmoda-s/usr/bin/gpasswd
[size=1em]chmoda-s/usr/bin/wall
[size=1em]chmoda-s/usr/bin/chfn
[size=1em]chmoda-s/usr/bin/chsh
[size=1em]chmoda-s/usr/bin/newgrp
[size=1em]chmoda-s/usr/bin/write
[size=1em]chmoda-s/usr/sbin/usernetctl
[size=1em]chmoda-s/usr/sbin/traceroute
[size=1em]chmoda-s/bin/mount
[size=1em]chmoda-s/bin/umount
[size=1em]chmoda-s/bin/ping
[size=1em]chmoda-s/sbin/netreport



修正体系引诱文件
[size=1em]
[size=1em]1

[size=1em]2

[size=1em][size=1em]chmod600/etc/grub.conf

[size=1em]chattr+i/etc/grub.conf



日记办理

1、体系引诱日记

dmesg
利用dmesg下令能够疾速检察最初一次体系引诱的引诱日记。一般它的内容会良多,以是您常常会但愿将其经由过程管道传输到一个浏览器。

2、体系运转日记

A、Linux日记存储在/var/log目次中。
这里有几个由体系保护的日记文件,但其他办事和步伐也大概会把它们的日记放在这里。年夜多半日记只要root才能够读,不外只必要修正文件的会见权限就能够让其别人可读。
以下是经常使用的体系日记文件称号及其形貌:
lastlog纪录用户最初一次乐成登录工夫
loginlog不良的上岸实验纪录?
messages纪录输入到体系主控台和由syslog体系办事步伐发生的动静
utmp纪录以后登录的每一个用户
utmpx扩大的utmp
wtmp纪录每次用户登录和刊出的汗青信息wtmpx扩大的wtmp
vold.log纪录利用内部介质呈现的毛病
xferkig纪录Ftp的存取情形sulog纪录su下令的利用情形
acct纪录每一个用户利用过的下令
aculog拨出主动呼唤纪录
B、/var/log/messages
messages日记是中心体系日记文件。它包括了体系启动时的引诱动静,和体系运转时的其他形态动静。IO毛病、收集毛病和其他体系毛病城市纪录到这个文件中。其他信息,好比某团体的身份切换为root,也在这里列出。假如办事正在运转,好比DHCP办事器,您能够在messages文件中察看它的举动。一般,/var/log/messages是您在做妨碍诊断时起首要检察的文件。
C、/var/log/XFree86.0.log
这个日记纪录的是Xfree86Xwindows办事器最初一次实行的了局。假如您在启动到图形形式时碰到了成绩,一样平常情形从这个文件中会找到失利的缘故原由。

收集宁静

利用TCP_WRAPPERS

利用TCP_WRAPPERS可使你的体系宁静面临内部进侵。最好的战略就是制止一切
的主机(在"/etc/hosts.deny"文件中到场"ALL:ALL@ALL,PARANOID"),然后再在"/etc/hosts.allow"文件中到场一切同意会见的主机列表。
第一步:
编纂hosts.deny文件(vi/etc/hosts.deny),到场上面这行
#Denyaccesstoeveryone.
ALL:ALL@ALL,PARANOID
这标明除非该地点包幸亏同意会见的主机列表中,不然堵塞一切的办事和地点。
第二步:
编纂hosts.allow文件(vi/etc/hosts.allow),到场同意会见的主机列表,比
如:
ftp:202.54.15.99foo.com
202.54.15.99和foo.com是同意会见ftp办事的ip地点和主机称号。
第三步:
tcpdchk步伐是tepdwrapper设置反省步伐。它用来反省你的tcpwrapper设置,并呈报发明的潜伏的和实在的成绩。设置完后,运转上面这个下令:
[Root@kapil/]#tcpdchk

iptables防火墙利用

这里未几先容,请参考:http://www.centoscn.com/CentosSecurity/CentosSafe/2013/0801/854.html
欢迎大家来到仓酷云论坛!
活着的死人 该用户已被删除
沙发
发表于 2015-1-20 13:58:51 | 只看该作者
把这个问题放在其他Linux社区请求帮助也是一种选择。如果Linux得不到答案,请不要以为我们觉得无法帮助你。有时只是看到你问题的人不知道答案罢了。这时换一个社区是不错的选择。
愤怒的大鸟 该用户已被删除
板凳
发表于 2015-1-29 08:50:16 | 只看该作者
期间我阅读了不少关于Linux的相关资料,其中也不乏一些有趣的小故事,这既丰富了我的课余生活,也让我加深了对一些术语的理解,比玩游戏强多了。?
小妖女 该用户已被删除
地板
发表于 2015-2-6 01:54:33 | 只看该作者
熟读写基础知识,学得会不如学得牢。
5#
发表于 2015-2-15 03:52:38 | 只看该作者
Linux是参照Unix思想设计的,理解掌握Linux必须按照Unix思维来进行。思想性的转变比暂时性的技术提高更有用,因为他能帮助你加快学习速度。
谁可相欹 该用户已被删除
6#
发表于 2015-3-4 11:22:49 | 只看该作者
Linux简单,占内存少,特别是对于程序开发人员来说很方便,如果说windows的成功在于其方便用户的窗口管理界面。
老尸 该用户已被删除
7#
发表于 2015-3-4 11:22:59 | 只看该作者
把这个问题放在其他Linux社区请求帮助也是一种选择。如果Linux得不到答案,请不要以为我们觉得无法帮助你。有时只是看到你问题的人不知道答案罢了。这时换一个社区是不错的选择。
分手快乐 该用户已被删除
8#
发表于 2015-3-11 18:57:15 | 只看该作者
即便是非英语国家的人发布技术文档,Linux也都首先翻译成英语在国际学术杂志和网络上发表。
变相怪杰 该用户已被删除
9#
发表于 2015-3-19 11:49:35 | 只看该作者
编程学习及开发,Linux是免费,开源的操作系统,并且可开发工具相当多,如果您支持自由软件,一定要同广大热爱自由软件人士一同为其不懈努力。
简单生活 该用户已被删除
10#
 楼主| 发表于 2015-3-28 06:17:58 | 只看该作者
期间我阅读了不少关于Linux的相关资料,其中也不乏一些有趣的小故事,这既丰富了我的课余生活,也让我加深了对一些术语的理解,比玩游戏强多了。?
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

QQ|Archiver|手机版|仓酷云 鄂ICP备14007578号-2

GMT+8, 2024-12-23 11:53

Powered by Discuz! X3.2

© 2001-2013 Comsenz Inc.

快速回复 返回顶部 返回列表