本文共 5849 字,大约阅读时间需要 19 分钟。
前言
本来想说一些事例来说明一下系统安全的重要性,后来发现事例太多举不过来。因为每天都会有信息被盗取、服务被攻击的事情发生?网上一查一堆。。。下面是从系统登陆的方面来总结的一些常用到的系统安全设置,可根据需求设置,就相当于在地铁加了个安检。
实际上对于登陆的管理,最好使用跳板机进行授权(在云服务器中也可以配置角色及权限),严格控制登陆权限,并对每台服务器设置较长的复杂密码(通常10位以上,包含字母,数字,大小写,特殊字符;使用密码生成器随机生成也可以)。当然,如果有一些其他的安全性的配置更好,但是从使用感受来说:配置的越安全复杂,使用越不方便。当然你自己不方便了,通常其他人也就不方便了。尤其是有一些为了安全,对于登录方面,堡垒机套堡垒机,套堡垒机,套xxx
jumpserver安装操作链接如下,(如使用的jumpserver,要重点注意jumpserver的安全):
https://blog.csdn.net/GX_1_11_real/article/details/79433128【1】禁止root远程登录
禁止root用户,极易导致执行某些操作无权限;如使用此设置,请先设置可提权的用户
<1>修改PermitRootLogin 为no
vim /etc/ssh/sshd_configPermitRootLogin noorsed -i '/PermitRootLogin/c\PermitRootLogin no' /etc/ssh/sshd_config
<2>重启ssh服务
service sshd stopservice sshd startorsystemctl stop sshdsystemtl start sshd
【2】设置指定用户组可切换到root用户
配合第一个设置使用
<1>开启wheel组的认证
vim /etc/pam.d/su取消下面这行的注释:auth required pam_wheel.so use_uidorsed -i '/pam_wheel.so use_uid/c\auth required pam_wheel.so use_uid ' /etc/pam.d/su
<2>设置仅允许wheel组的用户切换到root
vim /etc/login.defs末尾追加:SU_WHEEL_ONLY yesorecho "SU_WHEEL_ONLY yes" >> /etc/login.defs
<3>将普通用户加入wheel组
useradd alilipasswd aliliusermod -G wheel alili
<4>开启wheel组的sudo权限
vim /etc/sudoers%wheel ALL=(ALL) ALL
取消%wheel ALL=(ALL) ALL前的注释,即可开启wheel组的sudo权限
也可在此配置下方,编辑新的用户组授予sudo权限<5>切换到root
su - root或sudo su -
这时唯有wheel组成员可切换到root用户,需要密码;其他非wheel组的用户,即使输入正确密码,也无法登陆
当wheel用户组的成员,可使用sudo提权时,使用(sudo su - )可直接切到root用户,无需密码。【3】设定密码策略
其类似于windows的密码策略,密码长度,复杂度,密码使用时间
<1>修改密码时效及长度
vim /etc/login.defsPASS_MAX_DAYS 180 密码最长有效期(天)PASS_MIN_DAYS 15 密码修改间隔(天)PASS_MIN_LEN 16 密码长度PASS_WARN_AGE 3 密码失效前多少天开始通知用户修改密码or sed -i '/^PASS_MAX_DAYS/c\PASS_MAX_DAYS 180' /etc/login.defssed -i '/^PASS_MIN_DAYS/c\PASS_MIN_DAYS 15' /etc/login.defssed -i '/^PASS_MIN_LEN/c\PASS_MIN_LEN 16' /etc/login.defssed -i '/^PASS_WARN_AGE/c\PASS_WARN_AGE 3' /etc/login.defs
<2>设定新密码的复杂度
vim /etc/pam.d/system-authpassword requisite pam_pwquality.so try_first_pass local_users_only retry=3 authtok_type= difok=3 minlen=12 ucredit=-1 lcredit=-1 dcredit=-1orsed -i '/pam_pwquality.so/c\password requisite pam_pwquality.so try_first_pass local_users_only retry=3 authtok_type= difok=3 minlen=12 ucredit=-1 lcredit=-1 dcredit=-1' /etc/pam.d/system-auth
参数含义:difok 定义新密码中必须要有几个字符和旧密码不同minlen 定义新密码的最小长度ucredit 定义新密码中可以包含的大写字母的最大数目(-1代表最少1个)lcredit 定义新密码中可以包含的小写字母的最大数目(-1代表最少1个)dcredit 定义新密码中可以包含的数字的最大数目 (-1代表最少1个)
<3>登陆失败次数限定
vim /etc/pam.d/login在#%PAM-1.0下面的一行添加下列:auth required pam_tally2.so deny=5 lock_time=300 even_deny_root root_unlock_time=300or sed -i '/%PAM-1.0/a\auth required pam_tally2.so deny=5 unlock_time=300 even_deny_root root_unlock_time=300' /etc/pam.d/login
参数含义:pam_tally2.so deny 定义密码失败次数lock_time 定义普通用户失败后锁定时间(单位秒)even_deny_root root_unlock_time 定义root用户失败后锁定时间(单位秒)
被锁定用户,锁定解除:pam_tally2 查看被锁定的用户pam_tally2 --reset -u 用户名 将被锁定的用户解锁
【4】处理隐患账号
<1>查看除了root用户,UID为0的账号(UID为0的用户会自动切换到root,通常对此用户删除)
awk -F ':' '($3==0){print $1}' /etc/passwd |grep -v root
<2>查看具有登录权限的用户(通常将不安全用户进行锁定或删除)
awk -F: '($7=="/bin/bash"){print $1}' /etc/passwd
<3>查看空口令账号(空口令账号登陆,无需输入密码;通常对空口令账号必须设置密码或进行锁定/删除)
awk -F: '($2 == ""){ print $1 }' /etc/shadow
<4>账号处理常用命令
userdel -r 用户名 删除不必要的账号passwd 用户名 设置用户密码(或 echo "密码" |passwd --stdin 用户名)passwd -l 用户名 锁定不必要的账号passwd -d 用户名 删除用户密码,设置空口令账号passwd -u 用户名 解除锁定
【5】用户登录文件锁定
可使用chattr +i ,设定文件不能被删除、改名、设定链接、写入及新增内容。
但是使用后,如果需要添加新账号,要先解除锁定<1>用户账号文件(建议锁定)
/etc/passwd 用于记录系统中各个账号的一些基本属性。
以":"为分隔的各部分所代表的含义:用户名:密码:用户uid:用户组gid:描述:主目录:登录Shell由于密码被记录在了 /etc/shadow 文件中,第二个位置显示为x
<2>密码文件(建议锁定)
/etc/shadow 记录所有用户的密码
以":"为分隔的各部分所代表的含义: 登录名:加密的密码:密码最后一次修改时间:修改密码的最小时间间隔:修改密码的最大时间间隔:密码要失效开始警告用户修改密码的前几天:不活动时间:失效时间(账号的生存时间):标志(系统保留)
第2个位置详细说明:此处保存的是加密后的用户密码。空” “,则代表用户没有口令,登录时无需密码星号*代表帐号被锁定双叹号!!表示这个密码已经过期了\$6$开头的,表明是用SHA-512加密的\$1$ 开头,表明是用MD5加密的\$2$开头,表明是用Blowfish加密的\$5$开头,表明是用SHA-256加密的
<3>用户组文件(建议锁定)
/etc/group 记录所有用户组
以":"为分隔的各部分所代表的含义: 组名:口令:用户组gid:该组内的用户列表
<4>文件锁定操作
chattr +i /etc/passwd 增加该隐藏权限(使文件无法被任何用户删除,除非移除该权限)chattr -i /etc/passwd 移除该隐藏权限lsattr /etc/passwd 查看隐藏权限
更多文件安全的操作,可跳转Linux系统中的安全加固—文件安全。(抽时间,整理中)
【6】Tcp_wrapper常用配置
是一种类似于iptables防火墙的,基于tcp协议的访问控制工具。可以实现系统中提供的某些服务的允许和禁止,仅需配置两个文件/etc/hosts.allow 允许访问和 /etc/hosts.deny 禁止访问。当文件都没有配置时,tcp_wrapper不生效。
工作流程:
系统检查hosts.allow文件中是否有匹配的规则。如果有匹配的规则,则允许访问 如果hosts.allow没有匹配的规则,则检查hosts.deny文件中是否有匹配的规则 如果hosts.deny有匹配的规则,则拒绝访问 如果hosts.deny没有匹配的规则,则视为默认,允许访问备注:所有的服务都能受到iptables控制,但并非所有都接受tcp_wrapper控制
下面列举的是常用的用法之一,可配合jumpserver使用。
<1>配置拒绝访问
vim /etc/hosts.deny追加sshd:all:deny #拒绝所有ip的ssh访问(小心使用,最好先配置好允许访问)
<2>配置允许访问
vim /etc/hosts.allow 追加: sshd:192.168.10.3:allow #接受192.168.10.3 ssh访问sshd:172.16.:allow #接受172.16网段的IP ssh访问sshd:10.10.10.:allow #接受10.10.10网段的IP ssh访问
【7】禁止ping请求
会给监控带来影响,配置ping请求的监控会失效.
/proc/sys/net/ipv4/icmp_echo_ignore_all 默认值为0,默认响应ping请求
<1>禁止系统响应内部及外部的ping请求
(此操作仅禁止响应ping,仍可被telnet探测出端口和ssh远程登陆)
echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_all
【8】登陆终端限制
/etc/securetty 中设定的是:允许root用户可以从哪些TTY终端设备进行登陆,影响的是root
下面是两种常用用法(可选)
<1>仅允许root在tty1终端登录
注释掉/etc/securetty 文件中除tty1的其他行
vim /etc/securettytty1#tty2#tty3#tty4......
<2>禁止telnet的root登录
释掉/etc/securetty 文件中所有以pts开头的行
vim /etc/securetty#pts/0#pts/1#pts/2......
备注:
此文件中列出来的tty设备都是允许登录的,注释掉或是在这个文件中不存在的都是不允许root登录的,但是能用普通用户的账号登录,使用su命令切换为root;当文件内容为空时,root用户就不能从任何的设备登录系统,只能用普通用户登录,再su切换成root;当该文件不存在时,root用户可以从任何地方登录。【9】ssh端口修改
远程端口通常为22端口,修改ssh端口可加强对系统保护
注意修改端口后,要使正在使用防火墙上放开该端口,否则无法远程<1>修改ssh配置,追加端口
vim /etc/ssh/ssh_config找到Port 22 后,在下方追加新端口Port 11235
重启ssh服务后,通过新端口进行连接;如可连接,即为成功
如修改后报错,可关闭selinux<2>修改ssh配置,注释端口
vim /etc/ssh/ssh_config找到Port 22 后,注释掉该端口#Port 22
<3>重启ssh服务
systemctl restart sshd
转载地址:https://moxiao.blog.csdn.net/article/details/89334708 如侵犯您的版权,请留言回复原文章的地址,我们会给您删除此文章,给您带来不便请您谅解!