您当前的位置:首页 > 电脑百科 > 安全防护 > 网络安全

小白黑客是如何进行Linux安全加固的?

时间:2021-06-21 09:56:33  来源:今日头条  作者:Kali与编程

linux安全加固.

  1. 防口令破解
  2. 限制口令长度和复杂度

要求:修改口令策略,要满足复杂性和长度在8位数以上要求,口令里面宝行大写字母、小写字母、数字、特殊字符,每种字符至少一个

方法authconfig -- passminlen=8 --update

authconfig --passminclass=4 –-update

Kali与编程:小白黑客是如何进行Linux安全加固的?

 


Kali与编程:小白黑客是如何进行Linux安全加固的?

 

(2)口令生存周期

要求:限制口令的使用期限最长为九十天,口令的最短使用期限是三天,口令到期前十五天发出提醒

方法:

vi /etc/login.defs——>修改配置文件内容

在配置文件里面修改如下内容:

PASS_MAX_DAYS 90 PASS_MIN_DAYS 3 PASS_WARN_AGE 15

保存退出(按“esc”键+冒号+wq)

Kali与编程:小白黑客是如何进行Linux安全加固的?

 


Kali与编程:小白黑客是如何进行Linux安全加固的?

 

修改前

Kali与编程:小白黑客是如何进行Linux安全加固的?

 

修改后

Kali与编程:小白黑客是如何进行Linux安全加固的?

 

(3)设置登录失败锁定

要求:用户远程登录验证连续超过5次失败,锁定账户30分钟

方法:

Vim /etc/pam.d/sshd 修改配置文件,在#%PAM-1.0的下面一行,添加如下内容

auth required pam_tally2.so deny=5 unlock_time=1800 even_deny_root root_unlock_time=1800

保存退出(按“esc”键+冒号+wq)

Kali与编程:小白黑客是如何进行Linux安全加固的?

 


Kali与编程:小白黑客是如何进行Linux安全加固的?

 

创建一个用户swn,并且设置密码为123456

Kali与编程:小白黑客是如何进行Linux安全加固的?

 


Kali与编程:小白黑客是如何进行Linux安全加固的?

 

可尝试输错3次(我没有输错3次)但是效果图如下

Kali与编程:小白黑客是如何进行Linux安全加固的?

 

上图为引用

(4)处理弱口令用户

要求:当某个用户的口令为弱口令时,要修改该用户的口令,让其符合限制口令长度和复杂度的要求

方法:passwd swn // 为用户设置强口令

Kali与编程:小白黑客是如何进行Linux安全加固的?

 

(5)处理与系统运行维护无关的用户

要求:系统存在于运行、维护工作无关的用户,名为test,并锁定它

方法:usermod -L test ----锁定用户

Kali与编程:小白黑客是如何进行Linux安全加固的?

 

2.防服务漏洞

(1)更改SSH服务端口

要求:将ssh的监听端口全部改为2222

方法:vi /etc/ssh/sshd_config 修改配置文件,取消Port行的注释,将Port行的值改为2222

修改后保存退出(按“esc”键+冒号+x)

Systemctl restart sshd 重启ssh服务

修改前

Kali与编程:小白黑客是如何进行Linux安全加固的?

 

修改后

Kali与编程:小白黑客是如何进行Linux安全加固的?

 


Kali与编程:小白黑客是如何进行Linux安全加固的?

 


Kali与编程:小白黑客是如何进行Linux安全加固的?

 

(2)限制SSH连接的源地址范围

要求:只允许192.168.26.0/24网段访问ssh

方法:vi /etc/hosts.deny 编辑配置文件,在最后一行加入sshd:ALL

保存退出(按“esc”键+冒号+wq)(添加的内容前面没有#,不然就不生效)

修改配置文件前的内容:

Kali与编程:小白黑客是如何进行Linux安全加固的?

 

修改配置文件后的内容:

Kali与编程:小白黑客是如何进行Linux安全加固的?

 

vi /etc/hosts.allow 编辑配置文件,在末尾加入:sshd:
192.168.26.0/255.255.255.0:allow 保存退出(按“esc”键+冒号+wq)

Kali与编程:小白黑客是如何进行Linux安全加固的?

 


Kali与编程:小白黑客是如何进行Linux安全加固的?

 

(3)禁用不必要的服务

要求:停止且禁用不需要的服务,如cups,使得系统的攻击面变小

方法:systemctl stop cups 停止服务

Systemctl disable cups 禁用服务

截图:

Kali与编程:小白黑客是如何进行Linux安全加固的?

 

(4)启用审计服务

要求:开启auditd服务,并且修改为开机自动运行

方法:systemctl start auditd 手动启动服务

Systemctl enable auditd 设置开机自动运行

Systemctl status auditd 查看auditd服务真正开启了没

截图:

Kali与编程:小白黑客是如何进行Linux安全加固的?

 


Kali与编程:小白黑客是如何进行Linux安全加固的?

 

3.防权限提升

(1)启用sudo日志

要求:启用sudo日志

方法:

1.创建一个sudo.log文件。用命令touch /var/log/sudo.log 创建日志文件

2.修改rsyslog配置文件。用命令vi /etc/reslog.conf 进入配置文件添加local2.debug(注意:在空白处不能用空格键,必须用tab键,保存退出(按“esc”键+冒号+wq))用命令systemctl restart rsyslog 重启resyslog服务

3.修改sudo配置文件。visudo编辑配置文件sudo,加入如下几行:

Defaults logfile=/var/log/sudo.log

Defaults loglinelen=0

Defaults !syslog

保存退出(按“esc”键+冒号+wq)

Kali与编程:小白黑客是如何进行Linux安全加固的?

 


Kali与编程:小白黑客是如何进行Linux安全加固的?

 


Kali与编程:小白黑客是如何进行Linux安全加固的?

 


Kali与编程:小白黑客是如何进行Linux安全加固的?

 


Kali与编程:小白黑客是如何进行Linux安全加固的?

 

(2)限制su的使用

要求:除了swn用户之外,禁止其他用户使用su命令

方法:1.vi /etc/pam.d/su ->修改配置文件

取消如下的注释:auth required pam_wheel.so use_uid 把这句话前面的#删除(按i键进入编辑模式)

保存退出(按“esc”键+冒号+wq)

2. vi /etc/group->修改配置文件

把swn加入wheel组->wheel:x:10:swn

保存退出(按“esc”键+冒号+wq)

Kali与编程:小白黑客是如何进行Linux安全加固的?

 

vi

Kali与编程:小白黑客是如何进行Linux安全加固的?

 


Kali与编程:小白黑客是如何进行Linux安全加固的?

 


Kali与编程:小白黑客是如何进行Linux安全加固的?

 


Kali与编程:小白黑客是如何进行Linux安全加固的?

 


Kali与编程:小白黑客是如何进行Linux安全加固的?

 


Kali与编程:小白黑客是如何进行Linux安全加固的?

 

(3)管理suid/sgid文件

要求:系统里面存在设置suid的vim程序(/usr/bin/vim),存在提权风险,必须修改vim程序的suid权限

方法:改变权限即: chmod u-s /usr/bin/vim

Kali与编程:小白黑客是如何进行Linux安全加固的?

 

(4)设置严格的umask

要求:将用户默认的umask值修改为027

方法:1.进入配置文件—>vi /etc/bashrc 把umask值修改为027,保存退出(按“esc”键+冒号+wq)

Kali与编程:小白黑客是如何进行Linux安全加固的?

 


Kali与编程:小白黑客是如何进行Linux安全加固的?

 

  1. 进入配置文件—>vi /etc/profile 把umask值修改为027,保存退出(按“esc”键+冒号+wq)
Kali与编程:小白黑客是如何进行Linux安全加固的?

 


Kali与编程:小白黑客是如何进行Linux安全加固的?

 


Kali与编程:小白黑客是如何进行Linux安全加固的?

 


Kali与编程:小白黑客是如何进行Linux安全加固的?

 

(5)注销时清除历史命令

要求:用户注销时清除该用户的历史命令

方法:1.修改配置文件——>vi /root/.bash_profile,在文章末尾加入下面一行:echo> /root/.bash_history. 保存退出(按“esc”键+冒号+wq)//清除root用户的历史命令

Kali与编程:小白黑客是如何进行Linux安全加固的?

 

2.修改配置文件——>vi /home/swn/.bash_profile,在文章末尾加入下面一行:echo> /home/swn/.bash_history. 保存退出(按“esc”键+冒号+wq)//清除swn用户的历史命令

Kali与编程:小白黑客是如何进行Linux安全加固的?

 


Kali与编程:小白黑客是如何进行Linux安全加固的?

 

  1. 修改配置文件——>vi /etc/skel/.bash_profile,在文章末尾加入下面一行:echo> $HOME/.bash_history. 保存退出(按“esc”键+冒号+wq)//编辑用户配置模板
Kali与编程:小白黑客是如何进行Linux安全加固的?

 


Kali与编程:小白黑客是如何进行Linux安全加固的?

 

(6)禁用coredump

要求:禁用系统的coredump

方法:1.vi /etc/security/limits.conf ——>进入配置文件修改

*hard core 0 ——.>文件末尾加入,然后保存退出(按“esc”键+冒号+wq)

Kali与编程:小白黑客是如何进行Linux安全加固的?

 

2. vi /etc/sysctl.conf ——>进入配置文件修改

fs.suid_dumpable=0 ——.>文件中加入,然后保存退出(按“esc”键+冒号+wq),

Kali与编程:小白黑客是如何进行Linux安全加固的?

 


Kali与编程:小白黑客是如何进行Linux安全加固的?

 

使用命令sysctl -w fs.suid_dumpable=0重启参数,参数立即生效(用sysctl -a |grep fs.suid_dumpable查看)

Kali与编程:小白黑客是如何进行Linux安全加固的?

 

4.防木马后门

(1)开启网络防火墙firewalld

要求:开启网络防火墙,只允许远程主机访问本地的特定端口,如22和80

方法:systemctl firewalld ——>启动firewalld服务

systemctl firewalld——>设置服务开机自启

firewalld-cmd --add-service=http——>允许访问http

firewalld-cmd --add-service=http --permanent——>持久化(写入配置文件)

firewalld-cmd --add-service=ssh——>

firewalld-cmd --add-service=ssh --permanent——>

firewalld-cmd --remove-service=dhcpv6-cllient——>删除不需要的服务

firewalld-cmd --remove-service=dhcpv6-cllient –permanent

firewalld-cmd --list-service——>查看firewalld允许的服务

firewalld-cmd --list-service --permanent——>查看配置文件允许的服务

Kali与编程:小白黑客是如何进行Linux安全加固的?

 

  1. 限制crontab使用者

要求:禁止除了root以外的用户以crontab方式运行计划任务

方法:创建并编辑文件cron.allowtouch /etc/cron.allow&vi /etc/cron.allow并且在文件第一行写入root,然后保存退出(按“esc”键+冒号+wq)

Kali与编程:小白黑客是如何进行Linux安全加固的?

 


Kali与编程:小白黑客是如何进行Linux安全加固的?

 

加入swn用户输入crontab -e

Kali与编程:小白黑客是如何进行Linux安全加固的?

 

5.防痕迹清除

(1)启用rsyslog服务

要求:启动rsyslog服务并设置为开机自动运行

方法:自动启动服务——>systemctl enable rsyslog

手动启动服务——>systemctl start rsyslog

Kali与编程:小白黑客是如何进行Linux安全加固的?

 

(2)配置远程日志服务器

要求:配置远程rsyslog日志服务器

方法:1.修改配置文件——> vi /etc/rsyslog.conf,在配置文件/etc/rsyslog.conf末尾加入:*.*@192.168.26.137——>将全部日志转发到192.168.26.137的UDP514端口,保存退出(按“esc”键+冒号+wq)

Kali与编程:小白黑客是如何进行Linux安全加固的?

 

  1. 加强审计日志文件权限

要求:设置严格的权限给auidit日志文件,防止日志信息被恶意操作

方法:chmod 700 /var/log/audit

Chmod 600 /var/log/audit/audit.log

Kali与编程:小白黑客是如何进行Linux安全加固的?

 

搜索:Kali与编程,学习更多技术干货!



Tags:Linux安全   点击:()  评论:()
声明:本站部分内容及图片来自互联网,转载是出于传递更多信息之目的,内容观点仅代表作者本人,如有任何标注错误或版权侵犯请与我们联系(Email:2595517585@qq.com),我们将及时更正、删除,谢谢。
▌相关推荐
Linux安全加固. 防口令破解 限制口令长度和复杂度要求:修改口令策略,要满足复杂性和长度在8位数以上要求,口令里面宝行大写字母、小写字母、数字、特殊字符,每种字符至少一个方...【详细内容】
2021-06-21  Tags: Linux安全  点击:(125)  评论:(0)  加入收藏
最近发现攻击官网和论坛量和人数又增加了,不得不再多做做安防。本文一颗优雅草科技央千澈所写,转载麻烦注明,非常感谢,依然本文和优雅草科技观点毫无关系,仅代表个人观点。 这...【详细内容】
2020-08-31  Tags: Linux安全  点击:(114)  评论:(0)  加入收藏
1概述近几年来Internet变得更加不安全了。网络的通信量日益加大,越来越多的重要交易正在通过网络完成,与此同时数据被损坏、截取和修改的风险也在增加。只要有值得偷窃的东西...【详细内容】
2020-08-03  Tags: Linux安全  点击:(70)  评论:(0)  加入收藏
请先掌握上面默认网站浏览访问及页面文件的修改方法,然后进行修改网页数据的主目录,实现自定义网站数据主目录的操作。1、网站数据主目录修改把默认网站主目录/var/www/html改...【详细内容】
2019-12-13  Tags: Linux安全  点击:(135)  评论:(0)  加入收藏
▌简易百科推荐
(报告出品方:德勤)数字化转型网络安全及转型挑战在任何行业,保持竞争力都需要快速开发新产品和 服务并推向市场。创新型业务模式不仅仅是简单地将现有 流程数字化,其正在覆盖供应...【详细内容】
2021-12-22  认是    Tags:网络安全   点击:(19)  评论:(0)  加入收藏
10月18号, W3C中网络平台孵化器小组(Web Platform Incubator Community Group)公布了HTML Sanitizer API的规范草案。这份草案用来解决浏览器如何解决XSS攻击问题。 网络安全中...【详细内容】
2021-12-07  实战Java  博客园  Tags:脚本攻击   点击:(18)  评论:(0)  加入收藏
一、背景介绍大家在Linux的日常使用中都晓得如何通过命令行去配置Linux的端口开放规则,但是大家知道如何配置Windows入站出站规则吗?有哪些常见的危险端口呢?如何解决上述问题...【详细内容】
2021-12-01  Kali与编程    Tags:防火墙   点击:(30)  评论:(0)  加入收藏
网络安全服务商Randori公司日前发布了一份调查报告,列出了网络攻击者最有可能攻击或利用的IT资产。在遭遇Solarwinds黑客攻击一周年之际,以及在网络安全(尤其是勒索软件和供应...【详细内容】
2021-10-28  企业网D1net   企鹅号  Tags:网络攻击   点击:(57)  评论:(0)  加入收藏
0x01.背景实验利用Dns Administrators 组成员,通过远程配置Dns服务,进行Dll inject从而实现特权提升。 在域内,Dns server 通常为Dc Server,Dns服务器管理基于rpc,通过调用c:\wi...【详细内容】
2021-10-22  IT影子    Tags:特权提升   点击:(37)  评论:(0)  加入收藏
本文主要介绍和总结了CSRF跨站请求伪造的基本原理和主要防范措施,工作中有用到的朋友不妨收藏转发一下,以备您参考。什么是CSRF?CSRF跨站点请求伪造(Cross—Site Request...【详细内容】
2021-10-13  快乐中恒    Tags:CSRF   点击:(49)  评论:(0)  加入收藏
waf拦截在打某市 Hvv 第一天就找到一个文件上传的点,经过测试,可以直接任意文件上传,没有什么道理。 直接尝试上传 Php 文件,被 waf 拦截了 2021最新整理网络安全/渗透测试/安...【详细内容】
2021-10-11  KaliMa    Tags:防火墙   点击:(56)  评论:(0)  加入收藏
应用程序与文件系统的交互始终是高度安全敏感的,因为较小的功能漏洞很容易成为可利用漏洞的来源。这种观察在web文件管理器的情况下尤其正确,其作用是复制完整文件系统的功能...【详细内容】
2021-09-17  IT野涵    Tags:漏洞链   点击:(56)  评论:(0)  加入收藏
您的苹果手机尽管iPhone比Android更安全,但也可以通过各种方式入侵。避免黑客入侵的最佳方法是警惕奇怪的链接或粗略的应用程序,并仅在必要时提供信息。电池寿命差和性能低下...【详细内容】
2021-09-16  Hackers爱好者    Tags:黑客入侵   点击:(631)  评论:(0)  加入收藏
防火墙一般布置在逻辑区域的入口处,位于三层网络架构的核心和汇聚之间,起到隔离逻辑区域,为逻辑区域创建安全策略的作用。 上面就是应用区的防火墙布置方式,他布置在应用区,可以...【详细内容】
2021-09-03  知来知去    Tags:主备模式防火墙   点击:(109)  评论:(0)  加入收藏
最新更新
栏目热门
栏目头条